(2013-12-11 13:19:25 отредактировано zhen)

rutoken и openvpn

Добрый день.
Установил сертификат с ключом на Рутокен ETC с помощью Rutoken Control Panel.
В Windows команда openvpn.exe --show-pkcs11-ids C:\Windows\System32\rtPKCS11ECP.dll дает корректный вывод.
в LINUX команда openvpn --show-pkcs11-ids path/librtpkcs11ecp.so дает корректный вывод.
В Mac os 10.8.5 команда /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.3.2/openvpn --show-pkcs11-ids /Library/OpenSC/lib/opensc-pkcs11.so не находит сертификат.
В чем может быть проблема с МАС?

Re: rutoken и openvpn

Люблю отвечать на собственные вопросы...
Во всех 3-х системах токен работает после двойного импорта сертификата: вначале через pkcs15-init, потом через Rutoken Control Panel. Только так.

Re: rutoken и openvpn

zhen пишет:

Люблю отвечать на собственные вопросы...
Во всех 3-х системах токен работает после двойного импорта сертификата: вначале через pkcs15-init, потом через Rutoken Control Panel. Только так.

Это бессмысленно. У Вас на после pkcs15-init и панели управления на токене две копии сертификата. Это не хорошо.
Вы ошиблись тут:

zhen пишет:

В Mac os 10.8.5 команда /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.3.2/openvpn --show-pkcs11-ids /Library/OpenSC/lib/opensc-pkcs11.so не находит сертификат.

Используйте librtpkcs11ecp.dylib вместо opensc-pkcs11 и на Маке тоже заработает https://www.rutoken.ru/support/download/pkcs/

Re: rutoken и openvpn

Спасибо за ответ. Не догадался искать драйвер для Мака в разделе "Библиотека PKCS#11".
В Tunnelblick сразу заработало. В Viscosity пришлось повозиться. Библиотека установщиком помещается в директорию '/Library/Aktiv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib' Программе то ли пробел в пути не нравится, то ли что. Пробовал разные кавычки, экранировать пробелы по-разному - не распознается путь. Сделал ссылку:
ln -s '/Library/Aktiv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib' /Library/OpenSC/lib/librtpkcs11ecp.dylib
и указал её - заработало.

Re: rutoken и openvpn

Добрый день, ещё раз.
С Viscosity да, есть проблемка. Надо зарепортить им баг.

(2013-12-25 12:06:05 отредактировано zhen)

Re: rutoken и openvpn

Добрый день.
Мне тут босс сообщает, что у него на Маке (Mavericks 10.9.1) viscosity с Рутокен не работает с выдачей ошибки:
-----------------------
12/25/13 12:33:24.346 PM openvpn[3618]: OpenVPN 2.3.2 i386-apple-darwin [SSL (OpenSSL)] [LZO] [PKCS11] [MH] [IPv6] built on Jun  7 2013
12/25/13 12:33:25.249 PM imagent[3507]: Quit - notifying about shutdown
12/25/13 12:33:25.250 PM imagent[3507]: Quit - shutting down daemon
12/25/13 12:33:25.394 PM openvpn[3620]: PKCS#11: Adding PKCS#11 provider '/Library/OpenSC/lib/librtpkcs11ecp.dylib'
12/25/13 12:33:25.420 PM ReportCrash[3631]: DebugSymbols was unable to start a spotlight query: spotlight is not responding or disabled.
12/25/13 12:33:25.602 PM ReportCrash[3631]: Saved crash report for openvpn[3620] version ??? to /Library/Logs/DiagnosticReports/openvpn_2013-12-25-123325
-----------------------
На странице загрузки драйверов написано, что поддерживаются  Apple OS X 10.9/10.8/10.7/10.6 . Подскажите, имеется ли поддержка 10.9.1 или только планируется и что еще можно попробовать сделать для работы?
Заранее спасибо.

Re: rutoken и openvpn

zhen пишет:

Добрый день.
Мне тут босс сообщает, что у него на Маке (Mavericks 10.9.1) viscosity с Рутокен не работает с выдачей ошибки:
-----------------------
12/25/13 12:33:24.346 PM openvpn[3618]: OpenVPN 2.3.2 i386-apple-darwin [SSL (OpenSSL)] [LZO] [PKCS11] [MH] [IPv6] built on Jun  7 2013
12/25/13 12:33:25.249 PM imagent[3507]: Quit - notifying about shutdown
12/25/13 12:33:25.250 PM imagent[3507]: Quit - shutting down daemon
12/25/13 12:33:25.394 PM openvpn[3620]: PKCS#11: Adding PKCS#11 provider '/Library/OpenSC/lib/librtpkcs11ecp.dylib'
12/25/13 12:33:25.420 PM ReportCrash[3631]: DebugSymbols was unable to start a spotlight query: spotlight is not responding or disabled.
12/25/13 12:33:25.602 PM ReportCrash[3631]: Saved crash report for openvpn[3620] version ??? to /Library/Logs/DiagnosticReports/openvpn_2013-12-25-123325
-----------------------
На странице загрузки драйверов написано, что поддерживаются  Apple OS X 10.9/10.8/10.7/10.6 . Подскажите, имеется ли поддержка 10.9.1 или только планируется и что еще можно попробовать сделать для работы?
Заранее спасибо.

Так и есть, я же написал в предыдущем посте, что с viscosity пока беда.
Дело не в 10.9.1 а в самом Viscosity.
Мы уже общаемся с их разработчиками, надеюсь они скоро поправят.
Пока могу рекомендовать Tunnelblick - он работает.

Re: rutoken и openvpn

Кажется, вопрос по Viscosity частично решился с созданием ссылки(выше) и указанием в программе использовать версию Openvpn 2.2.1 (вместо 2.3.2).

Re: rutoken и openvpn

zhen пишет:

Кажется, вопрос по Viscosity частично решился с созданием ссылки(выше) и указанием в программе использовать версию Openvpn 2.2.1 (вместо 2.3.2).

Вот как? Интересно..

Re: rutoken и openvpn

Добрый день.
Есть еще вопрос по работе rutoken с openvpn. Рвется сессия через час работы. Знаю, что есть параметр reneg-sec, отвечающий за время регенерации сессионного ключа, но не помогает. В самом rutoken нет какого-то TTL (времени жизни) сессионного ключа?

Re: rutoken и openvpn

zhen пишет:

Добрый день.
Есть еще вопрос по работе rutoken с openvpn. Рвется сессия через час работы. Знаю, что есть параметр reneg-sec, отвечающий за время регенерации сессионного ключа, но не помогает. В самом rutoken нет какого-то TTL (времени жизни) сессионного ключа?

Рутокен ничего не знает о том, какой это ключ и как он используется.
А без использования ключа на токене сессия рвется? Может настройки на сервере какие то?