1
Authentifizierung OpenVPN mit eToken
Wir möchten gerne unsere IP-Cop Firewall, der auch das aktuelle Zerina Ovpn-Package enthält, dazu bringen, das wir uns an einen Windows Client mit einem eToken (Aladdin eToken Pro) mit dem vom IP-Cop bereitgestelltem Zertifikat authentifizieren können und somit einen Tunnel graben können.
Leider haut das bisher nicht hin.
Wir haben das Zertifkat auf den eToken importiert und die ovpn-config-Datei dahingehend geändert, das
ca ca.crt
cryptoapicert "THUMB: 5a 74 7b..."
aufgerufen werden sollen.
Sobald wir die GUI starten, erscheint folgende Fehlermeldung:
Fri Jan 12 17:13:44 2007 Cannot load CA certificate file ca.crt (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Wie können wir dem eToken bzw. dem ovpn Client beibringen, das er das Zertifikat vom eToken ließt?
Vielleicht habt ihr den ein oder anderen Tipp für uns.
Vielen Dank und einen schönen Tag!
HOT aka Christian
Leider haut das bisher nicht hin.
Wir haben das Zertifkat auf den eToken importiert und die ovpn-config-Datei dahingehend geändert, das
ca ca.crt
cryptoapicert "THUMB: 5a 74 7b..."
aufgerufen werden sollen.
Sobald wir die GUI starten, erscheint folgende Fehlermeldung:
Fri Jan 12 17:13:44 2007 Cannot load CA certificate file ca.crt (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Wie können wir dem eToken bzw. dem ovpn Client beibringen, das er das Zertifikat vom eToken ließt?
Vielleicht habt ihr den ein oder anderen Tipp für uns.
Vielen Dank und einen schönen Tag!
HOT aka Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 48839
Url: https://administrator.de/contentid/48839
Printed on: April 23, 2024 at 09:04 o'clock
1 Comment
Also, damit OpenVPN von dem Token liest, sollet die Config irgendwie so aussehen:
ca C:/Programme/OpenVPN/config/ca.crt
Das ca muß auf jeden Fall als File auf den Rechner (habs zumindest anders nicht hingekriegt).
pkcs11-providers C:/windows/system32/eTpkcs11.dll
Hier muß der Pfad zur Datei eTpkcs11.dll hin. Die DLL wird vom eToken Installer mitgebracht.
pkcs11-slot-type name
pkcs11-slot "AKS ifdh 0"
pkcs11-id-type subject
pkcs11-id "/C=DE/ST=NRW/O=DerName/CN=DieFirma/emailAddress=DieEmail"
Es gibt noch andere methoden, nicht nur übers Subject. Einfach mal googeln.
;pkcs11-pin-cache 300
;pkcs11-protected-authentication 1
;pkcs11-sign-mode any
;pkcs11-cert-private 1
;daemon
;management 127.0.0.1 8888
;management-hold
;management-query-passwords
Den Rest hab ich nicht gebraucht...
;cert FileCert.crt
;key FileKey.key
Unbedingt dran denken, die *alten* Files auszukommentieren.
Hoffe es hilft!
ca C:/Programme/OpenVPN/config/ca.crt
Das ca muß auf jeden Fall als File auf den Rechner (habs zumindest anders nicht hingekriegt).
pkcs11-providers C:/windows/system32/eTpkcs11.dll
Hier muß der Pfad zur Datei eTpkcs11.dll hin. Die DLL wird vom eToken Installer mitgebracht.
pkcs11-slot-type name
pkcs11-slot "AKS ifdh 0"
pkcs11-id-type subject
pkcs11-id "/C=DE/ST=NRW/O=DerName/CN=DieFirma/emailAddress=DieEmail"
Es gibt noch andere methoden, nicht nur übers Subject. Einfach mal googeln.
;pkcs11-pin-cache 300
;pkcs11-protected-authentication 1
;pkcs11-sign-mode any
;pkcs11-cert-private 1
;daemon
;management 127.0.0.1 8888
;management-hold
;management-query-passwords
Den Rest hab ich nicht gebraucht...
;cert FileCert.crt
;key FileKey.key
Unbedingt dran denken, die *alten* Files auszukommentieren.
Hoffe es hilft!
