Ero sivun ”Tekniikka/OpenVPN” versioiden välillä
p (→Katso myös) |
|||
| (8 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
| Rivi 2: | Rivi 2: | ||
== Asiakaspään asetukset == | == Asiakaspään asetukset == | ||
| − | + | Asiakaspään asetustiedosto on varmennekorttikohtainen. Sitä ei voida muodostaa ellei käyttäjältä saada perustietosivulla esitettyä tulostetta ''Serialized id'' -kentän arvo joka on ns rautapolku varmenteeseen ja vaihtelee jopa samalla käyttäjällä kortin vaihtuessa. Arvo laitetaan asetustiedostoon ''pkcs11-id'' asetuksen arvoksi ja se pitää siteerata. Myös haksemistopolut pitää siteerata Windowsissa koska niiden takakeno-erottomista vedetään muuten herne nenään. | |
log /var/log/openvpn | log /var/log/openvpn | ||
| Rivi 28: | Rivi 28: | ||
comp-lzo | comp-lzo | ||
verb 4 | verb 4 | ||
| + | |||
| + | |||
| + | '''pkcs11-id''' sijasta voisi käyttää '''pkcs11-id-management''' asetusta joka kysyy käyttöliittymältä käytettävää varmennetta, mutta sitä ei ole vielä toteutettu käyttöliittymässä (2018-02-22). | ||
| + | |||
| + | pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so | ||
| + | pkcs11-id-management | ||
| + | |||
| + | ja sen käyttö aiheuttaa virheen: "GUI> Error: Received NEED-STR message -- not implemented" | ||
| + | |||
| + | == Virheilmoituksia == | ||
| + | |||
| + | === CKR_FUNCTION_FAILED === | ||
| + | PKCS#11: Cannot add provider ''6-'CKR_FUNCTION_FAILED | ||
| + | CKR_FUNCTION_FAILED virhe johtuu dynaamisen DLL/so -kirjaston latausvirheestä. Tämä voi johtua joko väärästä polusta tai eri binääri arkkitehtuurista, esimerkiksi OpenVPN ohjelmisto on 64-bittinen versio ja argumenttina annettu kirjasto 32-bittinen. | ||
| + | |||
| + | Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta. | ||
| + | |||
| + | === PKCS#11: Cannot deserialize id 19-'CKR_ATTRIBUTE_VALUE_INVALID' === | ||
| + | |||
| + | Varmennetta osoittava URL deserialisointi epäonnistuu pkcs11-helper kirjastossa. Tämä tapahtuu mm virolaisella varmennekortilla jossa URL on liian pitkä ja kentän pituus on rajattu 16 merkkiin. Koko OpenVPN ei noudata RFC7512 speksiä jossa tämä on määritelty. | ||
| + | |||
| + | * https://community.openvpn.net/openvpn/ticket/491 | ||
| + | * https://tools.ietf.org/html/rfc7512 | ||
| + | ** https://tools.ietf.org/html/draft-pechanec-pkcs11uri-16 | ||
| + | * https://bugzilla.redhat.com/show_bug.cgi?id=1516474 | ||
| + | |||
| + | == Katso myös == | ||
| + | * [[OpenVPN]] loppukäyttäjän ohjeet | ||
| + | |||
| + | |||
| + | [[Luokka:Tekniikka|O]] | ||
Nykyinen versio 23. huhtikuuta 2020 kello 09.11
OpenVPN
Sisällysluettelo
Asiakaspään asetukset
Asiakaspään asetustiedosto on varmennekorttikohtainen. Sitä ei voida muodostaa ellei käyttäjältä saada perustietosivulla esitettyä tulostetta Serialized id -kentän arvo joka on ns rautapolku varmenteeseen ja vaihtelee jopa samalla käyttäjällä kortin vaihtuessa. Arvo laitetaan asetustiedostoon pkcs11-id asetuksen arvoksi ja se pitää siteerata. Myös haksemistopolut pitää siteerata Windowsissa koska niiden takakeno-erottomista vedetään muuten herne nenään.
log /var/log/openvpn client dev tun proto udp remote 111.222.111.222 1194 resolv-retry infinite nobind persist-key persist-tun ca /srv/sys/pki/service.ca.cert.pem pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so pkcs11-id 'VRK\x2DFINEID/PKCS\x2315/4600015067524093/HENKILOKORTTI\x20\x28perustunnusluku\x29/45' pkcs11-pin-cache 300 auth-retry nointeract management 127.0.0.1 8888 management-query-passwords comp-lzo verb 4
pkcs11-id sijasta voisi käyttää pkcs11-id-management asetusta joka kysyy käyttöliittymältä käytettävää varmennetta, mutta sitä ei ole vielä toteutettu käyttöliittymässä (2018-02-22).
pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so pkcs11-id-management
ja sen käyttö aiheuttaa virheen: "GUI> Error: Received NEED-STR message -- not implemented"
Virheilmoituksia
CKR_FUNCTION_FAILED
PKCS#11: Cannot add provider 6-'CKR_FUNCTION_FAILED
CKR_FUNCTION_FAILED virhe johtuu dynaamisen DLL/so -kirjaston latausvirheestä. Tämä voi johtua joko väärästä polusta tai eri binääri arkkitehtuurista, esimerkiksi OpenVPN ohjelmisto on 64-bittinen versio ja argumenttina annettu kirjasto 32-bittinen.
Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta.
PKCS#11: Cannot deserialize id 19-'CKR_ATTRIBUTE_VALUE_INVALID'
Varmennetta osoittava URL deserialisointi epäonnistuu pkcs11-helper kirjastossa. Tämä tapahtuu mm virolaisella varmennekortilla jossa URL on liian pitkä ja kentän pituus on rajattu 16 merkkiin. Koko OpenVPN ei noudata RFC7512 speksiä jossa tämä on määritelty.
- https://community.openvpn.net/openvpn/ticket/491
- https://tools.ietf.org/html/rfc7512
- https://bugzilla.redhat.com/show_bug.cgi?id=1516474
Katso myös
- OpenVPN loppukäyttäjän ohjeet
