|
|
| (11 välissä olevaa versiota samalta käyttäjältä ei näytetä) |
| Rivi 9: |
Rivi 9: |
| | kotisivu=[https://openvpn.net openvpn.net] | | | kotisivu=[https://openvpn.net openvpn.net] |
| }} | | }} |
| '''OpenVPN''' on suosittu VPN-ohjelmisto (''Virtual Private Network'') joka toimii useassa eri käyttöjärjestelmässä (Windows, Mac OSX, Linux jakelut). VPN-yhteyden asiakaspään tunnistamisen voi tehdä henkilövarmennetta käyttäen. Tästä on merkittäviä etuja tunnelipalvelun tarjoajalle ja käyttäjälle. | | '''OpenVPN''' on suosittu VPN-ohjelmisto (''Virtual Private Network'') joka toimii useassa eri käyttöjärjestelmässä (Windows, Mac OSX, Linux jakelut). VPN-yhteyden asiakaspään tunnistamisen voi tehdä henkilökorttia käyttäen. Tästä on merkittäviä etuja tunnelipalvelun tarjoajalle ja käyttäjälle. |
|
| |
|
| == Asentaminen ==
| | Asennus ja käyttöohjeet ovat käyttöjärjestelmäriippuvaisia ja niistä on jokaisesta oma sivunsa: |
|
| |
|
| Jos käyttäjä haluaa asentaa VPN-ohjelmiston itse ja käytettävä laite on tietokone ja hänellä on asennusoikeudet siihen, ohjelmiston voi ladata
| | * [[OpenVPN/Windows]] |
| | | * [[OpenVPN/Linux]] |
| * [https://openvpn.net/index.php/download/community-downloads.html openvpn.net - community downloads] | | * [[OpenVPN/macOS]] |
| | |
| sivustolta ja asentaa sen.
| |
|
| |
|
| Jos laite on älypuhelin tai tabletti, ohjelma löytyy Googlen Android- ja Applen iOS -sovelluskaupoista. | | Jos laite on älypuhelin tai tabletti, ohjelma löytyy Googlen Android- ja Applen iOS -sovelluskaupoista. |
|
| |
|
| === Windows ===
| |
|
| |
| Asentamisen yhteydessä esitetyt kysymykset kannattaa hyväksyä oletuksilla. Henkilökorttia käytettäessä paketin mukana mahdollisesti tulevaa EasyRSA -vaihtoehtoa ei tarvita, koska sillä on tarkoitus luoda varmenteet itse.
| |
|
| |
| Windows-käyttöjärjestelmässä on varmennesäiliö jonka varmenteita voi hallita '''certmgr'''-käyttöliittymällä. Varmennesäiliön varmenteita voi käyttää Microsoftin oman [[CryptoAPI]]-rajapinnan kautta jolloin myös salasana/PIN-kyselyt tapahtuvat käyttöjärjestelmän käyttöliittymillä.
| |
|
| |
| [[Tiedosto:Certmgr.png|thumb|400px|Henkilökortin tunnistus ja allekirjoitus varmenteet näkyvät varmennesäiliössä.]]
| |
|
| |
| [[OpenSC]]:n käyttämä [[PKCS#11]]-rajapinta on vaihtoehto CryptoAPI:lle jolloin sivutetaan koko Windowsin varmennesäiliö.
| |
|
| |
| Kummassakaan ei valita käytettävää varmennetta sen [[CN]]:n mukaan jossa on käyttäjän nimi ja [[SATU]] vaan pkcs11-id:n (OpenSC) tai varmenteen sormenjäljen (CryptoAPI) avulla. Tästä seuraa, että asetus tulee uusia kun käyttäjän kortti vaihtuu katoamisen tai viiden vuoden vanhenemisen jälkeen uusittaessa.
| |
|
| |
| === Asetustiedosto .ovpn ===
| |
|
| |
| Asetustiedoston saat palvelun tarjoajalta jossa on palvelun enimmät tiedot valmiina. Tulee huomioida, että normaali käyttäjä ei voi oletusarvoisesti kirjoittaa mitään asetustiedostojen kansioon.
| |
|
| |
| OpenVPN ikoni työpöydän panelissa muuttaa valikkoaan kun ensimmäisen palvelun asetustiedosto löytyy kyseisestä hakemistosta. Valikko aukeaa klikkaamalla ikonia hiiren oikealla painikkeella. Uusia valintoja ovat mm ''Connect'' ja ''Edit Settings''.
| |
|
| |
| Asetustiedosto (*.ovpn) on henkilökohtainen henkilökorttia käytettäessä ja siten se kannattaa tallentaa käyttäjän kotihakemistossa olevaan asetushakemistoon:
| |
|
| |
| C:\\Users\Juha Tuomala\OpenVPN\config
| |
|
| |
|
| |
| === Palvelun oma CA juurivarmenne ===
| |
|
| |
| Jos palvelun mukana tulee oma juurivarmenne, se ei ole henkilökohtainen ja sen voi hyvin tallentaa yhteisesti käyttäväksi hakemistoon:
| |
|
| |
| C:\\Program Files\OpenVPN\config
| |
|
| |
| jos sinne on kirjoitusoikeudet. Muussa tapauksessa se on laitettava henkilökohtaiseen hakemistoon.
| |
|
| |
| === Linux ===
| |
|
| |
| Linuxissa:
| |
| /etc/openvpn/client/
| |
|
| |
| == Asetukset ==
| |
| [[Tiedosto:Openvpn.edit.settings.menu.png|right|thumb|Asetukset aukeavat klikkaamalla hiiren oikeanpuoleisella napilla paneelin OpenVPN-ikonia ja valitsemalla ''Edit Config''.]]
| |
|
| |
| Käyttäjän siis tulee valita kummalla tavalla varmennetta käytetään, varmennesäilön tai OpenSC-pkcs#11 avulla, tavat ovat toisilleen vaihtoehtoisia.
| |
|
| |
| === Varmennesäiliön asetukset ===
| |
|
| |
| Varmennesäiliötä (CryptoAPI) käytettäessä käyttäjän asetustiedostoon tulee syöttää tunnistusvarmenteen (''Key Usage: Digital Signature, Key Encipherment, Data Enchiphermenet'') sormenjäljen arvo, ei allekirjoitusvarmenteen (''Key Usage: [[NonRepudiation|Non-Repudiation]]'') jota käytetään dokumenttien allekirjoittamiseen.
| |
|
| |
| cryptoapicert 'THUMB:b8 82 51 f3 2a 50 d0 50 e2 c6 92 9b 4f d9 f9 a4 e3 13 78 d1'
| |
|
| |
| Varmenteen sormenjäljen näkee tuplaklikkaamalla varmennetta ja valitsemalla ''Details'' välilehdeltä ''Thumbprint'' asetuksen:
| |
|
| |
| [[Tiedosto:Thumbprint.png|thumb|400px|Sormenjälki-arvo varmenteen tiedoissa.]]
| |
|
| |
| Jos palvelun kanssa tulee käyttää palvelukohtaista CA-varmennetta (''ca''-asetus) palvelun oikeellisuuden varmistamiseksi, sen ei ole käyttäjäkohtainen ja sen voi tallentaa kaikille käyttäjille yhteiseen hakemistoon ja viitata siihen astustiedostossa:
| |
|
| |
| ca "C:\\Program Files\\OpenVPN\\config\\service.ca.cert.pem"
| |
|
| |
|
| |
| === OpenSC asetukset ===
| |
|
| |
| Jos korttia ei ole aiemmin käytetty kyseisessä tietokoneessa, henkilökortin asetttaminen kortinlukijaan käynnistää sirukortin [[ATR]]-ajurin (''smartcard driver'') asentamisen. Nykyiset Windows-versiot etsivät ajuria verkosta ja lataavat ja asentavat sen automaattisesti, tämä edellyttää tietysti toimivan Internet-yhteyden.
| |
|
| |
| Komentoja annettaessa istunnon tulee olla paikallinen, käytettävän tietokoneen omalta näppäimistöltä ja näytöltä - koska kortinlukijan käyttö ja kortin luku on estetty [https://fi.wikipedia.org/wiki/Etäkäyttö etänä] (''RDP, Remote Desktop Protocol'' ja vastaavat) turvallisuussyistä.
| |
|
| |
| Varmennekortilta on luettava lista varmenteista joista selviää niiden ''Serialized id''. Tämän kentän arvo on annettava asetustiedoston tekijälle.
| |
|
| |
| === Serialized id ===
| |
|
| |
| Windowsissa:
| |
|
| |
| [[Tiedosto:Openvpn.win7.show.pkcs11.ids.png|800px]]
| |
|
| |
|
| |
| Linuxissa:
| |
| <pre style='font-size: 10px'>
| |
| # /usr/sbin/openvpn --show-pkcs11-ids /usr/lib64/pkcs11/onepin-opensc-pkcs11.so
| |
|
| |
| The following objects are available for use.
| |
| Each object shown below may be used as parameter to
| |
| --pkcs11-id option please remember to use single quote mark.
| |
|
| |
| Certificate
| |
| DN: C=FI, serialNumber=10000350X, GN=JUHA, SN=TUOMALA, CN=TUOMALA JUHA 10000350X
| |
| Serial: 3BC409C1
| |
| Serialized id: VRK\x2DFINEID/PKCS\x2315/4600015135155169/HENKILOKORTTI\x20\x28perustunnusluku\x29/45
| |
| </pre>
| |
|
| |
| Esimerkit on tehty saman henkilön eri korteilla. Huomaa, että kortin vaihtuessa ''serialized-id'' on vaihtunut
| |
|
| |
| == Käyttö ==
| |
|
| |
| === Käynnistys (Windows) ===
| |
|
| |
| Ohjelma voidaan käynnistää käynnistämällä:
| |
| - työpöydän ikonista klikkaamalla
| |
| - palveluna (jatkuvasti taustalla valmiina)
| |
|
| |
| Palvelun etu on korkeammat käyttöoikeudet. Ikonista käynnistettynä voi joutua valitsemaan oikealla hiiren nappulalla 'Run as Administrator' käynnistyksen. Palvelun käyttö vaatii myös TAP-modulin valitsemisen asennusvaiheessa, koska se on listattuna riippuvuutena eikä palvelu käynnisty ilman sitä.
| |
|
| |
| Käynnistyksen jälkeen OpenVPN -ikoni ilmestyy työpyödän paneeliin.
| |
|
| |
| === Yhteyden muodostaminen (Windows) ===
| |
|
| |
| Klikkaa hiiren oikealla napilla ikonia paneelista ja valitse Connect (tai yhteys, Connect jos niitä on useampia).
| |
|
| |
| === PIN1-tunnusluvun syöttö ===
| |
|
| |
| Tunnusluvun voi syöttää joko graafisella käyttöliittymällä tai telnet-ohjelmalla.
| |
|
| |
| telnet localhost 8888
| |
| password 'HENKILOKORTTI (perustunnusluku) token' 1234
| |
|
| |
|
| == Katso myös == | | == Katso myös == |
