Ero sivun ”Tekniikka/OpenVPN” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
 
(5 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 2: Rivi 2:
  
 
== Asiakaspään asetukset ==
 
== Asiakaspään asetukset ==
 
+
Asiakaspään asetustiedosto on varmennekorttikohtainen. Sitä ei voida muodostaa ellei käyttäjältä saada perustietosivulla esitettyä tulostetta ''Serialized id'' -kentän arvo joka on ns rautapolku varmenteeseen ja vaihtelee jopa samalla käyttäjällä kortin vaihtuessa. Arvo laitetaan asetustiedostoon ''pkcs11-id'' asetuksen arvoksi ja se pitää siteerata. Myös haksemistopolut pitää siteerata Windowsissa koska niiden takakeno-erottomista vedetään muuten herne nenään.
  
 
  log /var/log/openvpn
 
  log /var/log/openvpn
Rivi 29: Rivi 29:
 
  verb 4
 
  verb 4
  
 +
 +
'''pkcs11-id''' sijasta voisi käyttää '''pkcs11-id-management''' asetusta joka kysyy käyttöliittymältä käytettävää varmennetta, mutta sitä ei ole vielä toteutettu käyttöliittymässä (2018-02-22).
 +
 +
pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so
 +
pkcs11-id-management
 +
 +
ja sen käyttö aiheuttaa virheen: "GUI> Error: Received NEED-STR message -- not implemented"
  
 
== Virheilmoituksia ==
 
== Virheilmoituksia ==
Rivi 37: Rivi 44:
  
 
Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta.
 
Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta.
 +
 +
=== PKCS#11: Cannot deserialize id 19-'CKR_ATTRIBUTE_VALUE_INVALID' ===
 +
 +
Varmennetta osoittava URL deserialisointi epäonnistuu pkcs11-helper kirjastossa. Tämä tapahtuu mm virolaisella varmennekortilla jossa URL on liian pitkä ja kentän pituus on rajattu 16 merkkiin. Koko OpenVPN ei noudata RFC7512 speksiä jossa tämä on määritelty.
 +
 +
* https://community.openvpn.net/openvpn/ticket/491
 +
* https://tools.ietf.org/html/rfc7512
 +
** https://tools.ietf.org/html/draft-pechanec-pkcs11uri-16
 +
* https://bugzilla.redhat.com/show_bug.cgi?id=1516474
  
 
== Katso myös ==
 
== Katso myös ==
Rivi 42: Rivi 58:
  
  
[[Luokka:Tekniikka]]
+
[[Luokka:Tekniikka|O]]

Nykyinen versio 23. huhtikuuta 2020 kello 09.11

OpenVPN

Asiakaspään asetukset

Asiakaspään asetustiedosto on varmennekorttikohtainen. Sitä ei voida muodostaa ellei käyttäjältä saada perustietosivulla esitettyä tulostetta Serialized id -kentän arvo joka on ns rautapolku varmenteeseen ja vaihtelee jopa samalla käyttäjällä kortin vaihtuessa. Arvo laitetaan asetustiedostoon pkcs11-id asetuksen arvoksi ja se pitää siteerata. Myös haksemistopolut pitää siteerata Windowsissa koska niiden takakeno-erottomista vedetään muuten herne nenään.

log /var/log/openvpn
client 
dev tun
proto udp

remote 111.222.111.222 1194

resolv-retry infinite
nobind
persist-key
persist-tun

ca /srv/sys/pki/service.ca.cert.pem

pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so
pkcs11-id 'VRK\x2DFINEID/PKCS\x2315/4600015067524093/HENKILOKORTTI\x20\x28perustunnusluku\x29/45'
pkcs11-pin-cache 300

auth-retry nointeract
management 127.0.0.1 8888
management-query-passwords

comp-lzo
verb 4


pkcs11-id sijasta voisi käyttää pkcs11-id-management asetusta joka kysyy käyttöliittymältä käytettävää varmennetta, mutta sitä ei ole vielä toteutettu käyttöliittymässä (2018-02-22).

pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so
pkcs11-id-management

ja sen käyttö aiheuttaa virheen: "GUI> Error: Received NEED-STR message -- not implemented"

Virheilmoituksia

CKR_FUNCTION_FAILED

PKCS#11: Cannot add provider 6-'CKR_FUNCTION_FAILED

CKR_FUNCTION_FAILED virhe johtuu dynaamisen DLL/so -kirjaston latausvirheestä. Tämä voi johtua joko väärästä polusta tai eri binääri arkkitehtuurista, esimerkiksi OpenVPN ohjelmisto on 64-bittinen versio ja argumenttina annettu kirjasto 32-bittinen.

Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta.

PKCS#11: Cannot deserialize id 19-'CKR_ATTRIBUTE_VALUE_INVALID'

Varmennetta osoittava URL deserialisointi epäonnistuu pkcs11-helper kirjastossa. Tämä tapahtuu mm virolaisella varmennekortilla jossa URL on liian pitkä ja kentän pituus on rajattu 16 merkkiin. Koko OpenVPN ei noudata RFC7512 speksiä jossa tämä on määritelty.

Katso myös