मेरे पास एक कामकाजी OpenVPN सेटअप है, जो प्रमाणीकरण के लिए X.509 प्रमाणपत्र का उपयोग करता है। दो-कारक प्रमाणीकरण को लागू करने के लिए, मैं स्मार्टकार्ड पर नई कुंजी / प्रमाण पत्र नामांकित करना चाहता हूं। एवेंट्रा मायईआईडी वह कार्ड था जिसने ओपनएससी और सीए नामांकन प्रक्रिया के साथ सबसे आसान काम किया, इसलिए मैंने इस कार्ड के साथ शुरुआत की।
लिनक्स पर OpenVPN क्लाइंट (OpenVPN 2.4.0, openc-pkcs11 0.16.0-3, libpkcs11-helper1 1.21-1 / डेबियन स्ट्रेच) उस बिंदु पर जम जाता है, जहाँ इसे कार्ड के पिन के लिए संकेत देना चाहिए। पहले मुझे एक पेन्ट्री / शंका की समस्या का संदेह हुआ लेकिन जब मैंने साथ खेला pkcs11-id यह पहले से ही PKCS11 प्रदाता प्रारंभ के दौरान जम गया (सिवाय संकेतों के जवाब नहीं दिया kill -9 )।
विंडोज पर परीक्षण ग्राहक उस बिंदु पर पहुंच गया, जहां वह कार्ड से संपर्क करता है, लेकिन फिर एक त्रुटि प्रदर्शित करता है जो इस बग की तरह लगता है: https://bugzilla.redhat.com/show_bug.cgi?id=1516474
मुझे Windows सेटअप काम करते हुए मिला, जब मैंने OpenVPN क्लाइंट के 2.3 संस्करण का उपयोग किया, जिसने मुझे एक काम करने वाला PKCS11 URI दिया:
/usr/sbin/openvpn --show-pkcs11-ids (path-to-provider)
2.4 संस्करण मुझे अलग आईडी देता है, जो काम नहीं कर रहा है। हालाँकि जब मैं उपयोग करता हूँ pkcs11-id कि 2.3 संस्करण ने मुझे बताया, यह भी काम करता है।
मेरे कॉलेज अन्य कार्ड्स (यूबी और नाइट्रोक) का मूल्यांकन कर रहे हैं, लेकिन उन्होंने यह भी महसूस किया कि OpenVPN 2.4 का PCS11 इंटरफ़ेस इन कार्डों के साथ विशेष रूप से अच्छी तरह से काम नहीं कर रहा था।
यदि कोई भी स्मार्ट के साथ एक विश्वसनीय OpenVPN 2.4 सेटअप चला रहा है, तो क्या आप यह साझा कर सकते हैं कि आप किन कार्डों का उपयोग कर रहे हैं?
सादर, एक प्रकार की कटार