...
Оглавление |
---|
Введение
...
OpenVPN — — кроссплатформенное , гибкое и удобное решение для организации VPNвиртуальных защищенных сетей.
Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:
- по логину и паролю;
- по ключу и сертификату в файлах ( См. Управление сертификатами и ключами для клиентов OpenVPN);
- по ключу и сертификату на «борту» криптографического USB-токена в ключевом носителе (токене или смарт-картыкарте).
Далее в статье описана настройка авторизации В статье будет описана авторизация в OpenVPN с помощью криптографического USB-токена ключевого носителя Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в . В Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» проверка аутентификационных данных производится внутри токена. Благодаря этому закрытый Закрытый ключ никогда не покидает токен и его невозможно украсть извлекается из носителя, что предотвращает его возможную утечку из оперативной памяти компьютера с помощью троянов.
В статье будет показано, как развернуть тестовый VPN , а также корпоративный УЦ на базе приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.
...
Стенд с сервером OpenVPN и XCA поднят построен на Astra Linux Special Edition РУСБ.10015-01очередное 01 очередное обновление 1.6 оперативное обновление 2
...
Создадим сертификат УЦ: раздел "Сертификаты" → "Новый сертификат" согласно согласно нижеуказанным скриншотамснимкам:
Создание сертификата сервера OpenVPN
...
Создадим сертификат сервера: раздел "Сертификаты"→ "Новый сертификат" согласно представленным скриншотам.снимкам:
Создание сертификата клиента на Рутокен ЭЦП
...
Для этого указываем путь к ней: Файл → Опции → PKCS#11 provider → "Добавить" и указываем путь до библиотеки pkcs11(/opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so)
Информация |
---|
XCA: графический интерфейс инструмент для работы с токенамисертификатами и ключевыми носителями |
Генерация ключей на Рутокен ЭЦП
...