У меня есть рабочая установка OpenVPN, которая использует сертификаты X.509 для аутентификации. Чтобы реализовать двухфакторную аутентификацию, я хочу зарегистрировать новые ключи / сертификаты на смарт-картах. Aventra MyEID была картой, которая наиболее эффективно работала с OpenSC и процессом регистрации в CA, поэтому я начал с этой карты.
В Linux клиент OpenVPN (OpenVPN 2.4.0, opensc-pkcs11 0.16.0-3, libpkcs11-helper1 1.21-1 / Debian Stretch) зависает в точке, где он должен запросить PIN-код карты. Сначала я подозревал проблему pinentry / askpass, но когда я играл с pkcs11-id он уже завис во время инициализации провайдера PKCS11 (не реагировал на сигналы, кроме kill -9).
В Windows тестовый клиент достиг точки, где он связывается с картой, но затем отобразил ошибку, которая звучит как эта ошибка: https://bugzilla.redhat.com/show_bug.cgi?id=1516474
Я установил Windows, когда я использовал версию OpenVPN-клиента 2.3, которая дала мне работающий URI PKCS11:
/usr/sbin/openvpn --show-pkcs11-ids (path-to-provider)
Версия 2.4 дает мне другой идентификатор, который не работает. Однако, когда я использую pkcs11-id который мне показала версия 2.3, он также работает.
Мои колледжи оценивали другие карты (Yubi и Nitrokey), но они также чувствовали, что интерфейс PCS11 OpenVPN 2.4 не особенно хорошо работал с этими картами.
Если кто-нибудь использует надежную настройку OpenVPN 2.4 со Smartards, не могли бы вы поделиться, какие карты вы используете?
С наилучшими пожеланиями, Дирк