1
Authentifizierung OpenVPN mit eToken
Wir möchten gerne unsere IP-Cop Firewall, der auch das aktuelle Zerina Ovpn-Package enthält, dazu bringen, das wir uns an einen Windows Client mit einem eToken (Aladdin eToken Pro) mit dem vom IP-Cop bereitgestelltem Zertifikat authentifizieren können und somit einen Tunnel graben können.
Leider haut das bisher nicht hin.
Wir haben das Zertifkat auf den eToken importiert und die ovpn-config-Datei dahingehend geändert, das
ca ca.crt
cryptoapicert "THUMB: 5a 74 7b..."
aufgerufen werden sollen.
Sobald wir die GUI starten, erscheint folgende Fehlermeldung:
Fri Jan 12 17:13:44 2007 Cannot load CA certificate file ca.crt (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Wie können wir dem eToken bzw. dem ovpn Client beibringen, das er das Zertifikat vom eToken ließt?
Vielleicht habt ihr den ein oder anderen Tipp für uns.
Vielen Dank und einen schönen Tag!
HOT aka Christian
Leider haut das bisher nicht hin.
Wir haben das Zertifkat auf den eToken importiert und die ovpn-config-Datei dahingehend geändert, das
ca ca.crt
cryptoapicert "THUMB: 5a 74 7b..."
aufgerufen werden sollen.
Sobald wir die GUI starten, erscheint folgende Fehlermeldung:
Fri Jan 12 17:13:44 2007 Cannot load CA certificate file ca.crt (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Wie können wir dem eToken bzw. dem ovpn Client beibringen, das er das Zertifikat vom eToken ließt?
Vielleicht habt ihr den ein oder anderen Tipp für uns.
Vielen Dank und einen schönen Tag!
HOT aka Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 48839
Url: https://administrator.de/contentid/48839
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
1 Kommentar
Also, damit OpenVPN von dem Token liest, sollet die Config irgendwie so aussehen:
ca C:/Programme/OpenVPN/config/ca.crt
Das ca muß auf jeden Fall als File auf den Rechner (habs zumindest anders nicht hingekriegt).
pkcs11-providers C:/windows/system32/eTpkcs11.dll
Hier muß der Pfad zur Datei eTpkcs11.dll hin. Die DLL wird vom eToken Installer mitgebracht.
pkcs11-slot-type name
pkcs11-slot "AKS ifdh 0"
pkcs11-id-type subject
pkcs11-id "/C=DE/ST=NRW/O=DerName/CN=DieFirma/emailAddress=DieEmail"
Es gibt noch andere methoden, nicht nur übers Subject. Einfach mal googeln.
;pkcs11-pin-cache 300
;pkcs11-protected-authentication 1
;pkcs11-sign-mode any
;pkcs11-cert-private 1
;daemon
;management 127.0.0.1 8888
;management-hold
;management-query-passwords
Den Rest hab ich nicht gebraucht...
;cert FileCert.crt
;key FileKey.key
Unbedingt dran denken, die *alten* Files auszukommentieren.
Hoffe es hilft!
ca C:/Programme/OpenVPN/config/ca.crt
Das ca muß auf jeden Fall als File auf den Rechner (habs zumindest anders nicht hingekriegt).
pkcs11-providers C:/windows/system32/eTpkcs11.dll
Hier muß der Pfad zur Datei eTpkcs11.dll hin. Die DLL wird vom eToken Installer mitgebracht.
pkcs11-slot-type name
pkcs11-slot "AKS ifdh 0"
pkcs11-id-type subject
pkcs11-id "/C=DE/ST=NRW/O=DerName/CN=DieFirma/emailAddress=DieEmail"
Es gibt noch andere methoden, nicht nur übers Subject. Einfach mal googeln.
;pkcs11-pin-cache 300
;pkcs11-protected-authentication 1
;pkcs11-sign-mode any
;pkcs11-cert-private 1
;daemon
;management 127.0.0.1 8888
;management-hold
;management-query-passwords
Den Rest hab ich nicht gebraucht...
;cert FileCert.crt
;key FileKey.key
Unbedingt dran denken, die *alten* Files auszukommentieren.
Hoffe es hilft!
