Ero sivun ”OpenVPN/Windows” versioiden välillä
| (14 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
| Rivi 11: | Rivi 11: | ||
<< [[OpenVPN]] | << [[OpenVPN]] | ||
| + | |||
| + | '''OpenVPN''' käyttöönotto käyttäjän tietokoneessa vaatii ohjelmiston asentamisen, sekä palvelulta saadun asetustiedoston (*.ovpn) muokkaamista käyttäjän henkilökorttia vastaavaksi. Samalla tulee valita käytetäänkö Windowsin varmennesäiliötä, joka on suositeltavaa vai vaihtoehtoista OpenSC:tä. | ||
| + | |||
| + | Eri vaiheet saattavat tuntua peruskäyttäjälle haastavilta joten käyttöönottoa suositellaan mikrotuen tehtäväksi. | ||
| Rivi 20: | Rivi 24: | ||
sivustolta ja asentaa sen. | sivustolta ja asentaa sen. | ||
| − | |||
| − | |||
Jos henkilökorttia ei ole aiemmin käytetty kyseisessä tietokoneessa, henkilökortin asetttaminen kortinlukijaan käynnistää sirukortin [[ATR]]-ajurin (''smartcard driver'') asentamisen. Nykyiset Windows-versiot etsivät ajuria verkosta ja lataavat ja asentavat sen automaattisesti, tämä edellyttää tietysti toimivan Internet-yhteyden. | Jos henkilökorttia ei ole aiemmin käytetty kyseisessä tietokoneessa, henkilökortin asetttaminen kortinlukijaan käynnistää sirukortin [[ATR]]-ajurin (''smartcard driver'') asentamisen. Nykyiset Windows-versiot etsivät ajuria verkosta ja lataavat ja asentavat sen automaattisesti, tämä edellyttää tietysti toimivan Internet-yhteyden. | ||
| Rivi 27: | Rivi 29: | ||
Komentoja annettaessa istunnon tulee olla paikallinen, käytettävän tietokoneen omalta näppäimistöltä ja näytöltä - koska kortinlukijan käyttö ja kortin luku on estetty [https://fi.wikipedia.org/wiki/Etäkäyttö etänä] (''RDP, Remote Desktop Protocol'' ja vastaavat) turvallisuussyistä. | Komentoja annettaessa istunnon tulee olla paikallinen, käytettävän tietokoneen omalta näppäimistöltä ja näytöltä - koska kortinlukijan käyttö ja kortin luku on estetty [https://fi.wikipedia.org/wiki/Etäkäyttö etänä] (''RDP, Remote Desktop Protocol'' ja vastaavat) turvallisuussyistä. | ||
| − | + | Asentamisen yhteydessä esitetyt kysymykset kannattaa hyväksyä oletuksilla. Henkilökorttia käytettäessä paketin mukana mahdollisesti tulevaa EasyRSA -vaihtoehtoa ei tarvita. | |
| − | |||
| − | |||
| − | Asentamisen yhteydessä esitetyt kysymykset kannattaa hyväksyä oletuksilla. Henkilökorttia käytettäessä paketin mukana mahdollisesti tulevaa EasyRSA -vaihtoehtoa ei tarvita | ||
Windows-käyttöjärjestelmässä on varmennesäiliö jonka varmenteita voi hallita '''certmgr'''-käyttöliittymällä. Varmennesäiliön varmenteita voi käyttää Microsoftin oman [[CryptoAPI]]-rajapinnan kautta jolloin myös salasana/PIN-kyselyt tapahtuvat käyttöjärjestelmän käyttöliittymillä. | Windows-käyttöjärjestelmässä on varmennesäiliö jonka varmenteita voi hallita '''certmgr'''-käyttöliittymällä. Varmennesäiliön varmenteita voi käyttää Microsoftin oman [[CryptoAPI]]-rajapinnan kautta jolloin myös salasana/PIN-kyselyt tapahtuvat käyttöjärjestelmän käyttöliittymillä. | ||
| Rivi 51: | Rivi 50: | ||
| − | === Palvelun oma | + | === Palvelun oma juurivarmenne === |
Jos palvelun mukana tulee oma juurivarmenne, se ei ole henkilökohtainen ja sen voi hyvin tallentaa yhteisesti käyttäväksi hakemistoon: | Jos palvelun mukana tulee oma juurivarmenne, se ei ole henkilökohtainen ja sen voi hyvin tallentaa yhteisesti käyttäväksi hakemistoon: | ||
| Rivi 64: | Rivi 63: | ||
Käyttäjän siis tulee valita kummalla tavalla varmennetta käytetään, varmennesäilön tai OpenSC-pkcs#11 avulla, tavat ovat toisilleen vaihtoehtoisia. | Käyttäjän siis tulee valita kummalla tavalla varmennetta käytetään, varmennesäilön tai OpenSC-pkcs#11 avulla, tavat ovat toisilleen vaihtoehtoisia. | ||
| − | === Varmennesäiliön | + | === Varmennesäiliön asetus === |
Varmennesäiliötä (CryptoAPI) käytettäessä käyttäjän asetustiedostoon tulee syöttää tunnistusvarmenteen (''Key Usage: Digital Signature, Key Encipherment, Data Enchiphermenet'') sormenjäljen arvo, ei allekirjoitusvarmenteen (''Key Usage: [[NonRepudiation|Non-Repudiation]]'') jota käytetään dokumenttien allekirjoittamiseen. | Varmennesäiliötä (CryptoAPI) käytettäessä käyttäjän asetustiedostoon tulee syöttää tunnistusvarmenteen (''Key Usage: Digital Signature, Key Encipherment, Data Enchiphermenet'') sormenjäljen arvo, ei allekirjoitusvarmenteen (''Key Usage: [[NonRepudiation|Non-Repudiation]]'') jota käytetään dokumenttien allekirjoittamiseen. | ||
| Rivi 78: | Rivi 77: | ||
ca "C:\\Program Files\\OpenVPN\\config\\service.ca.cert.pem" | ca "C:\\Program Files\\OpenVPN\\config\\service.ca.cert.pem" | ||
| − | === OpenSC | + | Juurivarmenne ei ole henkilökohtainen, joten sen asetus on todennäköisesti valmiiksi oikea, tulee vain huolehtia tiedostopolun oikeellisuudesta. |
| + | |||
| + | === OpenSC asetus === | ||
| − | + | Henkilökortilta on luettava lista varmenteista joista selviää niiden ''Serialized id''. | |
| − | + | cmd komentorivillä: | |
| + | [[Tiedosto:Openvpn.win7.show.pkcs11.ids.png|800px]] | ||
| − | + | Serialized id arvo asetetaan pkcs11-id riville: | |
| − | + | pkcs11-id <arvo> | |
== Käyttö == | == Käyttö == | ||
Nykyinen versio 24. maaliskuuta 2020 kello 13.57
| OpenVPN | |
|---|---|
 | |
| Kuvaus | VPN yhteysohjelma |
| Käyttöliittymä | CLI, GUI |
| Lisenssi | |
| Kotisivu | openvpn.net |
<< OpenVPN
OpenVPN käyttöönotto käyttäjän tietokoneessa vaatii ohjelmiston asentamisen, sekä palvelulta saadun asetustiedoston (*.ovpn) muokkaamista käyttäjän henkilökorttia vastaavaksi. Samalla tulee valita käytetäänkö Windowsin varmennesäiliötä, joka on suositeltavaa vai vaihtoehtoista OpenSC:tä.
Eri vaiheet saattavat tuntua peruskäyttäjälle haastavilta joten käyttöönottoa suositellaan mikrotuen tehtäväksi.
Sisällysluettelo
Asentaminen
Jos käyttäjä haluaa asentaa VPN-ohjelmiston itse ja käytettävä laite on tietokone ja hänellä on asennusoikeudet siihen, ohjelmiston voi ladata
sivustolta ja asentaa sen.
Jos henkilökorttia ei ole aiemmin käytetty kyseisessä tietokoneessa, henkilökortin asetttaminen kortinlukijaan käynnistää sirukortin ATR-ajurin (smartcard driver) asentamisen. Nykyiset Windows-versiot etsivät ajuria verkosta ja lataavat ja asentavat sen automaattisesti, tämä edellyttää tietysti toimivan Internet-yhteyden.
Komentoja annettaessa istunnon tulee olla paikallinen, käytettävän tietokoneen omalta näppäimistöltä ja näytöltä - koska kortinlukijan käyttö ja kortin luku on estetty etänä (RDP, Remote Desktop Protocol ja vastaavat) turvallisuussyistä.
Asentamisen yhteydessä esitetyt kysymykset kannattaa hyväksyä oletuksilla. Henkilökorttia käytettäessä paketin mukana mahdollisesti tulevaa EasyRSA -vaihtoehtoa ei tarvita.
Windows-käyttöjärjestelmässä on varmennesäiliö jonka varmenteita voi hallita certmgr-käyttöliittymällä. Varmennesäiliön varmenteita voi käyttää Microsoftin oman CryptoAPI-rajapinnan kautta jolloin myös salasana/PIN-kyselyt tapahtuvat käyttöjärjestelmän käyttöliittymillä.
OpenSC:n käyttämä PKCS#11-rajapinta on vaihtoehto CryptoAPI:lle jolloin sivutetaan koko Windowsin varmennesäiliö.
Kummassakaan ei valita käytettävää varmennetta sen CN:n mukaan jossa on käyttäjän nimi ja SATU vaan pkcs11-id:n (OpenSC) tai varmenteen sormenjäljen (CryptoAPI) avulla. Tästä seuraa, että asetus tulee uusia kun käyttäjän kortti vaihtuu katoamisen tai viiden vuoden vanhenemisen jälkeen uusittaessa.
Asetustiedosto .ovpn
Asetustiedoston saat palvelun tarjoajalta jossa on palvelun enimmät tiedot valmiina. Tulee huomioida, että normaali käyttäjä ei voi oletusarvoisesti kirjoittaa mitään asetustiedostojen kansioon.
OpenVPN ikoni työpöydän panelissa muuttaa valikkoaan kun ensimmäisen palvelun asetustiedosto löytyy kyseisestä hakemistosta. Valikko aukeaa klikkaamalla ikonia hiiren oikealla painikkeella. Uusia valintoja ovat mm Connect ja Edit Settings.
Asetustiedosto (*.ovpn) on henkilökohtainen henkilökorttia käytettäessä ja siten se kannattaa tallentaa käyttäjän kotihakemistossa olevaan asetushakemistoon:
C:\\Users\Juha Tuomala\OpenVPN\config
Palvelun oma juurivarmenne
Jos palvelun mukana tulee oma juurivarmenne, se ei ole henkilökohtainen ja sen voi hyvin tallentaa yhteisesti käyttäväksi hakemistoon:
C:\\Program Files\OpenVPN\config
jos sinne on kirjoitusoikeudet. Muussa tapauksessa se on laitettava henkilökohtaiseen hakemistoon.
Asetukset
Käyttäjän siis tulee valita kummalla tavalla varmennetta käytetään, varmennesäilön tai OpenSC-pkcs#11 avulla, tavat ovat toisilleen vaihtoehtoisia.
Varmennesäiliön asetus
Varmennesäiliötä (CryptoAPI) käytettäessä käyttäjän asetustiedostoon tulee syöttää tunnistusvarmenteen (Key Usage: Digital Signature, Key Encipherment, Data Enchiphermenet) sormenjäljen arvo, ei allekirjoitusvarmenteen (Key Usage: Non-Repudiation) jota käytetään dokumenttien allekirjoittamiseen.
cryptoapicert 'THUMB:b8 82 51 f3 2a 50 d0 50 e2 c6 92 9b 4f d9 f9 a4 e3 13 78 d1'
Varmenteen sormenjäljen näkee tuplaklikkaamalla varmennetta ja valitsemalla Details välilehdeltä Thumbprint asetuksen.
Jos palvelun kanssa tulee käyttää palvelukohtaista juurivarmennetta palvelun oikeellisuuden varmistamiseksi, siihen tulee viitata ca asetuksella:
ca "C:\\Program Files\\OpenVPN\\config\\service.ca.cert.pem"
Juurivarmenne ei ole henkilökohtainen, joten sen asetus on todennäköisesti valmiiksi oikea, tulee vain huolehtia tiedostopolun oikeellisuudesta.
OpenSC asetus
Henkilökortilta on luettava lista varmenteista joista selviää niiden Serialized id.
cmd komentorivillä:
Serialized id arvo asetetaan pkcs11-id riville:
pkcs11-id <arvo>
Käyttö
Käynnistys
Ohjelma voidaan käynnistää käynnistämällä: - työpöydän ikonista klikkaamalla - palveluna (jatkuvasti taustalla valmiina)
Palvelun etu on korkeammat käyttöoikeudet. Ikonista käynnistettynä voi joutua valitsemaan oikealla hiiren nappulalla 'Run as Administrator' käynnistyksen. Palvelun käyttö vaatii myös TAP-modulin valitsemisen asennusvaiheessa, koska se on listattuna riippuvuutena eikä palvelu käynnisty ilman sitä.
Käynnistyksen jälkeen OpenVPN -ikoni ilmestyy työpyödän paneeliin.
Yhteyden muodostaminen
Klikkaa hiiren oikealla napilla ikonia paneelista ja valitse Connect (tai yhteys, Connect jos niitä on useampia).
