Ero sivun ”Tekniikka/OpenVPN” versioiden välillä
p (→Katso myös) |
|||
Rivi 58: | Rivi 58: | ||
− | [[Luokka:Tekniikka]] | + | [[Luokka:Tekniikka|O]] |
Nykyinen versio 23. huhtikuuta 2020 kello 09.11
OpenVPN
Sisällysluettelo
Asiakaspään asetukset
Asiakaspään asetustiedosto on varmennekorttikohtainen. Sitä ei voida muodostaa ellei käyttäjältä saada perustietosivulla esitettyä tulostetta Serialized id -kentän arvo joka on ns rautapolku varmenteeseen ja vaihtelee jopa samalla käyttäjällä kortin vaihtuessa. Arvo laitetaan asetustiedostoon pkcs11-id asetuksen arvoksi ja se pitää siteerata. Myös haksemistopolut pitää siteerata Windowsissa koska niiden takakeno-erottomista vedetään muuten herne nenään.
log /var/log/openvpn client dev tun proto udp remote 111.222.111.222 1194 resolv-retry infinite nobind persist-key persist-tun ca /srv/sys/pki/service.ca.cert.pem pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so pkcs11-id 'VRK\x2DFINEID/PKCS\x2315/4600015067524093/HENKILOKORTTI\x20\x28perustunnusluku\x29/45' pkcs11-pin-cache 300 auth-retry nointeract management 127.0.0.1 8888 management-query-passwords comp-lzo verb 4
pkcs11-id sijasta voisi käyttää pkcs11-id-management asetusta joka kysyy käyttöliittymältä käytettävää varmennetta, mutta sitä ei ole vielä toteutettu käyttöliittymässä (2018-02-22).
pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so pkcs11-id-management
ja sen käyttö aiheuttaa virheen: "GUI> Error: Received NEED-STR message -- not implemented"
Virheilmoituksia
CKR_FUNCTION_FAILED
PKCS#11: Cannot add provider 6-'CKR_FUNCTION_FAILED
CKR_FUNCTION_FAILED virhe johtuu dynaamisen DLL/so -kirjaston latausvirheestä. Tämä voi johtua joko väärästä polusta tai eri binääri arkkitehtuurista, esimerkiksi OpenVPN ohjelmisto on 64-bittinen versio ja argumenttina annettu kirjasto 32-bittinen.
Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta.
PKCS#11: Cannot deserialize id 19-'CKR_ATTRIBUTE_VALUE_INVALID'
Varmennetta osoittava URL deserialisointi epäonnistuu pkcs11-helper kirjastossa. Tämä tapahtuu mm virolaisella varmennekortilla jossa URL on liian pitkä ja kentän pituus on rajattu 16 merkkiin. Koko OpenVPN ei noudata RFC7512 speksiä jossa tämä on määritelty.
- https://community.openvpn.net/openvpn/ticket/491
- https://tools.ietf.org/html/rfc7512
- https://bugzilla.redhat.com/show_bug.cgi?id=1516474
Katso myös
- OpenVPN loppukäyttäjän ohjeet