...

Введение

...

OpenVPN — — кроссплатформенное , гибкое и удобное решение для организации VPNвиртуальных защищенных сетей.

Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:

• по логину и паролю;
• по ключу и сертификату в файлах ( См. Управление сертификатами и ключами для клиентов OpenVPN);
• по ключу и сертификату на «борту» криптографического USB-токена в ключевом носителе (токене или смарт-картыкарте).

Далее в статье описана настройка авторизации В статье будет описана авторизация в OpenVPN с помощью криптографического USB-токена ключевого носителя Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в . В Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» проверка аутентификационных данных производится внутри токена. Благодаря этому закрытый Закрытый ключ никогда не покидает токен и его невозможно украсть извлекается из носителя, что предотвращает его возможную утечку из оперативной памяти компьютера с помощью троянов. 
В статье будет показано, как развернуть тестовый VPN , а также корпоративный УЦ на базе приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.

...

Стенд с сервером OpenVPN и XCA поднят построен на Astra Linux Special Edition  РУСБ.10015-01очередное 01 очередное обновление 1.6 оперативное обновление 2

...

Создадим сертификат УЦ: раздел "Сертификаты" → "Новый сертификат"  согласно согласно нижеуказанным скриншотамснимкам:

Создание сертификата сервера OpenVPN

...

Создадим сертификат сервера: раздел "Сертификаты"→  "Новый сертификат" согласно представленным скриншотам.снимкам:

Создание сертификата клиента на Рутокен ЭЦП

...

 Для этого указываем путь к ней: Файл → Опции → PKCS#11 provider  → "Добавить" и указываем путь до библиотеки pkcs11(/opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so)

Генерация ключей на Рутокен ЭЦП

...