...

Введение

...

OpenVPN — — кроссплатформенное , гибкое и удобное решение для организации VPNвиртуальных защищенных сетей.

Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:

• по логину и паролю;
• по ключу и сертификату в файлах ( См. Управление сертификатами и ключами для клиентов OpenVPN);
• по ключу и сертификату на «борту» криптографического USB-токена в ключевом носителе (токене или смарт-картыкарте).

Далее в статье описана настройка авторизации В статье будет описана авторизация в OpenVPN с помощью криптографического USB-токена ключевого носителя Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в . В Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» проверка аутентификационных данных производится внутри токена. Благодаря этому закрытый Закрытый ключ никогда не покидает токен и его невозможно украсть извлекается из носителя, что предотвращает его возможную утечку из оперативной памяти компьютера с помощью троянов. 
В статье будет показано, как развернуть тестовый VPN , а также корпоративный УЦ на базе приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.

...

Стенд с сервером OpenVPN и XCA поднят на Astralinux Smolensk построен на Astra Linux Special Edition  РУСБ.10015-01 очередное обновление 1.6 update оперативное обновление 2

Установка и настройка  удостоверяющего центра на сервере

...

Для начала установим системные компоненты и утилиты, необходимые для работы Рутокен ЭЦП и XCA:

Для установки библиотеки librtpkcs11ecp.so следует перейти по указанной ссылке и скачать необходимую версию:

https://www.rutoken.ru/support/download/pkcs/

Запустим XCA:

Меню "Пуск" → Утилиты → Цифровые сертификаты XCA

...

Создадим сертификат УЦ: раздел "Сертификаты" → "Новый сертификат"  согласно согласно нижеуказанным скриншотамснимкам:

Создание сертификата сервера OpenVPN

...

Создадим сертификат сервера: раздел "Сертификаты"→  "СертификатыНовый сертификат" согласно представленным скриншотам.снимкам:

Создание сертификата клиента на Рутокен ЭЦП

...

 Для этого указываем путь к ней: Файл → Опции → PKCS#11 provider  → "Добавить" и указываем путь до библиотеки pkcs11(/opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so)

Генерация ключей на Рутокен ЭЦП

...

При установке пакетов fly-admin-openvpn-server и astra-openvpn-server автоматически будет установлен пакет libgost-astra, поддерживающий защитное преобразование информации в соответствии с алгоритмами ГОСТ.

Устанавливаем OpenVPN:

Настройка

...

Создание DH (Diffie Hellman) ключа

Вы можете создать файл параметров Diffie Hellman (Диффи-Хелмана) с помощью openssl:

...

Создаем конфигурационный файл сервера OpenVPN:

Cо следующими параметрами:

...

Запуск OpenVPN

Запускаем сервер OpenVPN

...

На клиентской машине устанавливаем пакеты, необходимые для работы Рутокен ЭЦП:

и библиотеку librtpkcs11ecp.so

Установка OpenVPN на клиенте

 Устанавливаем OpenVPN:

Копируем с сервера сертификат Удостоверяющего Центра (УЦ) к примеру в раздел /home/client/openvpn/CA.crt

Создаем конфигурационный файл клиента

Cо следующими параметрами:

...

Подключение к VPN-серверу

Подключаемся к VPN-серверу:

По запросу следует ввести PIN-код к Рутокену ЭЦП.

...