Тема от Mikele

  • Mikele
  • Посетитель
  • Неактивен

OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Добрый день.

Проблема после установки на сервер и генерации сертификата в openssl 1.1.1k.
Соединение прекрасно устанавливается, если сертификат и ключ доступны и прописаны в клиентском конфиге openvpn.

Однако после импорта pfx пары в токен и соответсвующей правки конфига токен не принимает правильный пароль и после двух-трех попыток вываливается с ошибкой.

Интересно, что на этой же машине прекрасно отрабатывает конфиг и токен с сертификатами, сделанными на openssl 1.1.0

Где копать?

Версия rtPKCS11.dll   4.9.1.0

Версия openvpn 2.5.5.0

Конфиг для работы без токена:

proto udp
dev tun
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
nobind
remote Х.Х.Х.Х 1194
verb 3
ca ca.crt
remote-cert-tls server
tls-auth ta.key 1
cert client1.crt
key client1.key
pkcs11-pin-cache 300
float
keepalive 10 120

Лог работы без токена:

2022-04-11 15:13:40 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-04-11 15:13:40 Windows version 10.0 (Windows 10 or greater) 64bit
2022-04-11 15:13:40 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2022-04-11 15:13:40 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-04-11 15:13:40 Need hold release from management interface, waiting...
2022-04-11 15:13:40 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-04-11 15:13:40 MANAGEMENT: CMD 'state on'
2022-04-11 15:13:40 MANAGEMENT: CMD 'log all on'
2022-04-11 15:13:40 MANAGEMENT: CMD 'echo all on'
2022-04-11 15:13:40 MANAGEMENT: CMD 'bytecount 5'
2022-04-11 15:13:40 MANAGEMENT: CMD 'hold off'
2022-04-11 15:13:40 MANAGEMENT: CMD 'hold release'
2022-04-11 15:13:40 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-11 15:13:40 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-11 15:13:40 TCP/UDP: Preserving recently used remote address: [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:13:40 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-04-11 15:13:40 UDP link local: (not bound)
2022-04-11 15:13:40 UDP link remote: [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:13:40 MANAGEMENT: >STATE:1649679220,WAIT,,,,,,
2022-04-11 15:13:40 MANAGEMENT: >STATE:1649679220,AUTH,,,,,,
2022-04-11 15:13:40 TLS: Initial packet from [AF_INET]Х.Х.Х.Х:1194, sid=2a64e72c 93f8c592
2022-04-11 15:13:40 VERIFY OK: depth=1, CN=Easy-RSA CA
2022-04-11 15:13:40 VERIFY KU OK
2022-04-11 15:13:40 Validating certificate extended key usage
2022-04-11 15:13:40 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2022-04-11 15:13:40 VERIFY EKU OK
2022-04-11 15:13:40 VERIFY OK: depth=0, CN=ovpn-serv
2022-04-11 15:13:40 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2022-04-11 15:13:40 [ovpn-serv] Peer Connection Initiated with [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:13:40 PUSH: Received control message: 'PUSH_REPLY,sndbuf 393216,rcvbuf 393216,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,route 10.168.103.0 255.255.255.0,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM'
2022-04-11 15:13:40 OPTIONS IMPORT: timers and/or timeouts modified
2022-04-11 15:13:40 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
2022-04-11 15:13:40 Socket Buffers: R=[65536->393216] S=[65536->393216]
2022-04-11 15:13:40 OPTIONS IMPORT: --ifconfig/up options modified
2022-04-11 15:13:40 OPTIONS IMPORT: route options modified
2022-04-11 15:13:40 OPTIONS IMPORT: peer-id set
2022-04-11 15:13:40 OPTIONS IMPORT: adjusting link_mtu to 1624
2022-04-11 15:13:40 OPTIONS IMPORT: data channel crypto options modified
2022-04-11 15:13:40 Data Channel: using negotiated cipher 'AES-256-GCM'
2022-04-11 15:13:40 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2022-04-11 15:13:40 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2022-04-11 15:13:40 interactive service msg_channel=612
2022-04-11 15:13:40 open_tun
2022-04-11 15:13:40 tap-windows6 device [OpenVPN TAP-Windows6] opened
2022-04-11 15:13:40 TAP-Windows Driver Version 9.24 
2022-04-11 15:13:40 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {3C99C393-A79C-41F9-87D0-BFB1E37B704F} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
2022-04-11 15:13:40 Successful ARP Flush on interface [8] {3C99C393-A79C-41F9-87D0-BFB1E37B704F}
2022-04-11 15:13:40 MANAGEMENT: >STATE:1649679220,ASSIGN_IP,,10.8.0.6,,,,
2022-04-11 15:13:40 IPv4 MTU set to 1500 on interface 8 using service
2022-04-11 15:13:45 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
2022-04-11 15:13:45 MANAGEMENT: >STATE:1649679225,ADD_ROUTES,,,,,,
2022-04-11 15:13:45 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
2022-04-11 15:13:45 Route addition via service succeeded
2022-04-11 15:13:45 C:\Windows\system32\route.exe ADD 10.168.103.0 MASK 255.255.255.0 10.8.0.5
2022-04-11 15:13:45 Route addition via service succeeded
2022-04-11 15:13:45 Initialization Sequence Completed
2022-04-11 15:13:45 MANAGEMENT: >STATE:1649679225,CONNECTED,SUCCESS,10.8.0.6,Х.Х.Х.Х,1194,,

Конфиг для работы с токеном:

proto udp
dev tun
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
nobind
remote Х.Х.Х.Х 1194
verb 3
ca ca.crt
remote-cert-tls server
tls-auth ta.key 1
pkcs11-providers c:\\windows\\system32\\rtPKCS11.dll
pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20S/2cc64ac5/Rutoken\x20S\x20\x3Cno\x20label\x3E/62633163633037322D643561632D343961372D383762382D3964306130316637663364305F45'
pkcs11-pin-cache 300
float
keepalive 10 120

Лог работы с токеном:

2022-04-11 15:19:49 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-04-11 15:19:49 Windows version 10.0 (Windows 10 or greater) 64bit
2022-04-11 15:19:49 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2022-04-11 15:19:49 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-04-11 15:19:49 Need hold release from management interface, waiting...
2022-04-11 15:19:49 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-04-11 15:19:49 MANAGEMENT: CMD 'state on'
2022-04-11 15:19:49 MANAGEMENT: CMD 'log all on'
2022-04-11 15:19:49 MANAGEMENT: CMD 'echo all on'
2022-04-11 15:19:49 MANAGEMENT: CMD 'bytecount 5'
2022-04-11 15:19:49 MANAGEMENT: CMD 'hold off'
2022-04-11 15:19:49 MANAGEMENT: CMD 'hold release'
2022-04-11 15:19:49 PKCS#11: Adding PKCS#11 provider 'c:\windows\system32\rtPKCS11.dll'
2022-04-11 15:19:49 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-11 15:19:49 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-11 15:19:49 TCP/UDP: Preserving recently used remote address: [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:19:49 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-04-11 15:19:49 UDP link local: (not bound)
2022-04-11 15:19:49 UDP link remote: [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:19:49 MANAGEMENT: >STATE:1649679589,WAIT,,,,,,
2022-04-11 15:19:49 MANAGEMENT: >STATE:1649679589,AUTH,,,,,,
2022-04-11 15:19:49 TLS: Initial packet from [AF_INET]Х.Х.Х.Х:1194, sid=ff5e9ddc 01a1704c
2022-04-11 15:19:50 VERIFY OK: depth=1, CN=Easy-RSA CA
2022-04-11 15:19:50 VERIFY KU OK
2022-04-11 15:19:50 Validating certificate extended key usage
2022-04-11 15:19:50 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2022-04-11 15:19:50 VERIFY EKU OK
2022-04-11 15:19:50 VERIFY OK: depth=0, CN=ovpn-serv
2022-04-11 15:19:54 MANAGEMENT: CMD 'password [...]'
2022-04-11 15:20:12 MANAGEMENT: CMD 'password [...]'
2022-04-11 15:20:12 PKCS#11: Cannot perform signature 112:'CKR_MECHANISM_INVALID'
2022-04-11 15:20:12 OpenSSL: error:141F0006:SSL routines:tls_construct_cert_verify:EVP lib
2022-04-11 15:20:12 TLS_ERROR: BIO read tls_read_plaintext error
2022-04-11 15:20:12 TLS Error: TLS object -> incoming plaintext read error
2022-04-11 15:20:12 TLS Error: TLS handshake failed
2022-04-11 15:20:12 SIGUSR1[soft,tls-error] received, process restarting
2022-04-11 15:20:12 MANAGEMENT: >STATE:1649679612,RECONNECTING,tls-error,,,,,
2022-04-11 15:20:12 Restart pause, 5 second(s)
2022-04-11 15:20:17 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-11 15:20:17 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-11 15:20:17 TCP/UDP: Preserving recently used remote address: [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:20:17 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-04-11 15:20:17 UDP link local: (not bound)
2022-04-11 15:20:17 UDP link remote: [AF_INET]Х.Х.Х.Х:1194
2022-04-11 15:20:17 MANAGEMENT: >STATE:1649679617,WAIT,,,,,,
2022-04-11 15:20:17 MANAGEMENT: >STATE:1649679617,AUTH,,,,,,
2022-04-11 15:20:17 TLS: Initial packet from [AF_INET]Х.Х.Х.Х:1194, sid=eeebdcdc f1cd5ac7
2022-04-11 15:20:17 VERIFY OK: depth=1, CN=Easy-RSA CA
2022-04-11 15:20:17 VERIFY KU OK
2022-04-11 15:20:17 Validating certificate extended key usage
2022-04-11 15:20:17 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2022-04-11 15:20:17 VERIFY EKU OK
2022-04-11 15:20:17 VERIFY OK: depth=0, CN=ovpn-serv
2022-04-11 15:20:19 PKCS#11: Cannot perform signature 1:'CKR_CANCEL'
2022-04-11 15:20:19 OpenSSL: error:141F0006:SSL routines:tls_construct_cert_verify:EVP lib
2022-04-11 15:20:19 TLS_ERROR: BIO read tls_read_plaintext error
2022-04-11 15:20:19 TLS Error: TLS object -> incoming plaintext read error
2022-04-11 15:20:19 TLS Error: TLS handshake failed
2022-04-11 15:20:19 SIGTERM[hard,tls-error] received, process exiting
2022-04-11 15:20:19 MANAGEMENT: >STATE:1649679619,EXITING,tls-error,,,,,

Ответ от Mikele (2022-04-12 14:31:48 отредактировано Mikele)

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Дополняю результаты опытов.

Проверил с Rutoken ECP Flash, 55.02.19.00
Версия rtPKCS11ECP.dll   2.1.2.0

Все прекрасно отработало с тем же сертификатом.

Интересно, сначала забыл изменить библиотеку на ECP, результат был тот же, пин запрашивался, но не принимался.

Я в недоумении. Rutoken S не поддерживает сертификаты для TLS1.3? Или проблема в библиотеке rtPKCS11.dll?

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Mikele, приветствую.
Проблема и в устройстве и в библиотеке.
Устройство Рутокен S не содержит внутренней криптографии, поэтому защищенное соединение в OpenVPN построить не получится.

В библиотеке rtPKCS11.dll нет механизмов, необходимых для TLS 1.3. По библиотеке rtPKCS11.dll разработок больше не ведется.

Ответ от Mikele (2022-04-12 15:53:41 отредактировано Mikele)

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Ксения, спасибо за ответ. Вы сэкономили мне время, но не деньги.:) Придется обновлять парк токенов.

Рутокен S прекрасно работал с более старыми версиями openssl и поднимал соединение TLS1.2.
Отсутствие внутренней криптографии ему не мешало.
Специально проверил со старым сертификатом на токене.

Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256

Так что проблема, похоже, в библиотеке. И обновлять ее не планируется...

Впрочем, погружаться в тонкости архитектуры токена и криптографии не хочу, это были мысли вслух

Задача решена, работать с TLSv1.3 будет Рутокен ECP. Рутокен S похоже пора списывать.

Ответ от Mikele

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Еще одна проблема с тем же конфигом и токеном.

Клиентская машина Альт Линукс Р10

OpenVPN 2.5.3 из коробки, пробовал собранный из исходников 2.5.5, разницы нет.

Токен в системе доступен, с OpenVpn взаимодействует.

~ # pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O
Using slot 0 with a present token (0x0)
Public Key Object; RSA 2048 bits
  label:      e0877e3d-7426-4f00-9aba-1801181b4309_E
  ID:         65303837376533642d373432362d346630302d396162612d3138303131383162343330395f45
  Usage:      encrypt, verify, derive
  Access:     none
Certificate Object; type = X.509 cert
  label:      e0877e3d-7426-4f00-9aba-1801181b4309_E
  subject:    DN: CN=client1
  ID:         65303837376533642d373432362d346630302d396162612d3138303131383162343330395f45
sbin $ ./openvpn --show-pkcs11-ids /usr/lib64/librtpkcs11ecp.so

The following objects are available for use.
Each object shown below may be used as parameter to
--pkcs11-id option please remember to use single quote mark.

Certificate
       DN:             CN=client1
       Serial:         C49F10DFC11CD5FB13980C5498FBD700
       Serialized id:  Aktiv\x20Co\x2E/Rutoken\x20ECP/3185803b/Rutoken\x20ECP\x20\x3Cno\x20label\x3E/65303837376533642D373432362D346630302D396162612D3138303131383162343330395F45

При подключении запрашивает токен, но когда токен вставлен, ошибка подключения.
OpenSSL: error:141F0006:SSL routines:tls_construct_cert_verify:EVP lib

Конфиг

proto tcp
dev tun
persist-key
persist-tun
cipher AES-256-GCM
auth SHA1
tls-client
client
resolv-retry infinite
nobind
remote X.X.X.X 1194
verb 4
ca /home/user/openvpn/ca.crt
remote-cert-tls server
tls-auth /home/user/openvpn/ta.key 1
auth-nocache
pkcs11-providers /usr/lib64/librtpkcs11ecp.so
pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20ECP/3185803b/Rutoken\x20ECP\x20\x3Cno\x20label\x3E/65303837376533642D373432362D346630302D396162612D3138303131383162343330395F45'
pkcs11-pin-cache 300
float
keepalive 10 120

Полный лог

sbin $ ./openvpn --config /home/user/openvpn/server3.ovpn
2022-05-14 21:21:51 us=113717 Current Parameter Settings:
2022-05-14 21:21:51 us=113830   config = '/home/user/openvpn/server3.ovpn'
2022-05-14 21:21:51 us=113862   mode = 0
2022-05-14 21:21:51 us=113898   persist_config = DISABLED
2022-05-14 21:21:51 us=113921   persist_mode = 1
2022-05-14 21:21:51 us=113947   show_ciphers = DISABLED
2022-05-14 21:21:51 us=113974   show_digests = DISABLED
2022-05-14 21:21:51 us=113997   show_engines = DISABLED
2022-05-14 21:21:51 us=114022   genkey = DISABLED
2022-05-14 21:21:51 us=114050   genkey_filename = '[UNDEF]'
2022-05-14 21:21:51 us=114077   key_pass_file = '[UNDEF]'
2022-05-14 21:21:51 us=114102   show_tls_ciphers = DISABLED
2022-05-14 21:21:51 us=114128   connect_retry_max = 0
2022-05-14 21:21:51 us=114153 Connection profiles [0]:
2022-05-14 21:21:51 us=114177   proto = tcp-client
2022-05-14 21:21:51 us=114200   local = '[UNDEF]'
2022-05-14 21:21:51 us=114225   local_port = '[UNDEF]'
2022-05-14 21:21:51 us=114249   remote = '176.62.180.18'
2022-05-14 21:21:51 us=114273   remote_port = '32348'
2022-05-14 21:21:51 us=114295   remote_float = ENABLED
2022-05-14 21:21:51 us=114320   bind_defined = DISABLED
2022-05-14 21:21:51 us=114346   bind_local = DISABLED
2022-05-14 21:21:51 us=114372   bind_ipv6_only = DISABLED
2022-05-14 21:21:51 us=114398   connect_retry_seconds = 5
2022-05-14 21:21:51 us=114425   connect_timeout = 120
2022-05-14 21:21:51 us=114451   socks_proxy_server = '[UNDEF]'
2022-05-14 21:21:51 us=114476   socks_proxy_port = '[UNDEF]'
2022-05-14 21:21:51 us=114499   tun_mtu = 1500
2022-05-14 21:21:51 us=114526   tun_mtu_defined = ENABLED
2022-05-14 21:21:51 us=114553   link_mtu = 1500
2022-05-14 21:21:51 us=114578   link_mtu_defined = DISABLED
2022-05-14 21:21:51 us=114603   tun_mtu_extra = 0
2022-05-14 21:21:51 us=114628   tun_mtu_extra_defined = DISABLED
2022-05-14 21:21:51 us=114653   mtu_discover_type = -1
2022-05-14 21:21:51 us=114681   fragment = 0
2022-05-14 21:21:51 us=114712   mssfix = 1450
2022-05-14 21:21:51 us=114737   explicit_exit_notification = 0
2022-05-14 21:21:51 us=114764   tls_auth_file = '[INLINE]'
2022-05-14 21:21:51 us=114790   key_direction = 1
2022-05-14 21:21:51 us=114816   tls_crypt_file = '[UNDEF]'
2022-05-14 21:21:51 us=114839   tls_crypt_v2_file = '[UNDEF]'
2022-05-14 21:21:51 us=114865 Connection profiles END
2022-05-14 21:21:51 us=114908   remote_random = DISABLED
2022-05-14 21:21:51 us=114936   ipchange = '[UNDEF]'
2022-05-14 21:21:51 us=114960   dev = 'tun'
2022-05-14 21:21:51 us=114986   dev_type = '[UNDEF]'
2022-05-14 21:21:51 us=115011   dev_node = '[UNDEF]'
2022-05-14 21:21:51 us=115037   lladdr = '[UNDEF]'
2022-05-14 21:21:51 us=115060   topology = 1
2022-05-14 21:21:51 us=115084   ifconfig_local = '[UNDEF]'
2022-05-14 21:21:51 us=115107   ifconfig_remote_netmask = '[UNDEF]'
2022-05-14 21:21:51 us=115134   ifconfig_noexec = DISABLED
2022-05-14 21:21:51 us=115160   ifconfig_nowarn = DISABLED
2022-05-14 21:21:51 us=115186   ifconfig_ipv6_local = '[UNDEF]'
2022-05-14 21:21:51 us=115210   ifconfig_ipv6_netbits = 0
2022-05-14 21:21:51 us=115233   ifconfig_ipv6_remote = '[UNDEF]'
2022-05-14 21:21:51 us=115257   shaper = 0
2022-05-14 21:21:51 us=115282   mtu_test = 0
2022-05-14 21:21:51 us=115307   mlock = DISABLED
2022-05-14 21:21:51 us=115333   keepalive_ping = 10
2022-05-14 21:21:51 us=115358   keepalive_timeout = 120
2022-05-14 21:21:51 us=115383   inactivity_timeout = 0
2022-05-14 21:21:51 us=115407   ping_send_timeout = 10
2022-05-14 21:21:51 us=115434   ping_rec_timeout = 120
2022-05-14 21:21:51 us=115460   ping_rec_timeout_action = 2
2022-05-14 21:21:51 us=115488   ping_timer_remote = DISABLED
2022-05-14 21:21:51 us=115515   remap_sigusr1 = 0
2022-05-14 21:21:51 us=115541   persist_tun = ENABLED
2022-05-14 21:21:51 us=115566   persist_local_ip = DISABLED
2022-05-14 21:21:51 us=115593   persist_remote_ip = DISABLED
2022-05-14 21:21:51 us=115618   persist_key = ENABLED
2022-05-14 21:21:51 us=115642   passtos = DISABLED
2022-05-14 21:21:51 us=115665   resolve_retry_seconds = 1000000000
2022-05-14 21:21:51 us=115687   resolve_in_advance = DISABLED
2022-05-14 21:21:51 us=115711   username = '[UNDEF]'
2022-05-14 21:21:51 us=115734   groupname = '[UNDEF]'
2022-05-14 21:21:51 us=115757   chroot_dir = '[UNDEF]'
2022-05-14 21:21:51 us=115782   cd_dir = '[UNDEF]'
2022-05-14 21:21:51 us=115809   writepid = '[UNDEF]'
2022-05-14 21:21:51 us=115835   up_script = '[UNDEF]'
2022-05-14 21:21:51 us=115859   down_script = '[UNDEF]'
2022-05-14 21:21:51 us=115898   down_pre = DISABLED
2022-05-14 21:21:51 us=115928   up_restart = DISABLED
2022-05-14 21:21:51 us=115956   up_delay = DISABLED
2022-05-14 21:21:51 us=115983   daemon = DISABLED
2022-05-14 21:21:51 us=116011   inetd = 0
2022-05-14 21:21:51 us=116037   log = DISABLED
2022-05-14 21:21:51 us=116062   suppress_timestamps = DISABLED
2022-05-14 21:21:51 us=116089   machine_readable_output = DISABLED
2022-05-14 21:21:51 us=116118   nice = 0
2022-05-14 21:21:51 us=116144   verbosity = 4
2022-05-14 21:21:51 us=116169   mute = 0
2022-05-14 21:21:51 us=116196   gremlin = 0
2022-05-14 21:21:51 us=116224   status_file = '[UNDEF]'
2022-05-14 21:21:51 us=116252   status_file_version = 1
2022-05-14 21:21:51 us=116280   status_file_update_freq = 60
2022-05-14 21:21:51 us=116308   occ = ENABLED
2022-05-14 21:21:51 us=116336   rcvbuf = 0
2022-05-14 21:21:51 us=116363   sndbuf = 0
2022-05-14 21:21:51 us=116390   mark = 0
2022-05-14 21:21:51 us=116417   sockflags = 0
2022-05-14 21:21:51 us=116445   fast_io = DISABLED
2022-05-14 21:21:51 us=116475   comp.alg = 0
2022-05-14 21:21:51 us=116505   comp.flags = 0
2022-05-14 21:21:51 us=116534   route_script = '[UNDEF]'
2022-05-14 21:21:51 us=116564   route_default_gateway = '[UNDEF]'
2022-05-14 21:21:51 us=116592   route_default_metric = 0
2022-05-14 21:21:51 us=116621   route_noexec = DISABLED
2022-05-14 21:21:51 us=116650   route_delay = 0
2022-05-14 21:21:51 us=116680   route_delay_window = 30
2022-05-14 21:21:51 us=116711   route_delay_defined = DISABLED
2022-05-14 21:21:51 us=116741   route_nopull = DISABLED
2022-05-14 21:21:51 us=116773   route_gateway_via_dhcp = DISABLED
2022-05-14 21:21:51 us=116803   allow_pull_fqdn = DISABLED
2022-05-14 21:21:51 us=116835   management_addr = '[UNDEF]'
2022-05-14 21:21:51 us=116865   management_port = '[UNDEF]'
2022-05-14 21:21:51 us=116908   management_user_pass = '[UNDEF]'
2022-05-14 21:21:51 us=116938   management_log_history_cache = 250
2022-05-14 21:21:51 us=116965   management_echo_buffer_size = 100
2022-05-14 21:21:51 us=116991   management_write_peer_info_file = '[UNDEF]'
2022-05-14 21:21:51 us=117017   management_client_user = '[UNDEF]'
2022-05-14 21:21:51 us=117041   management_client_group = '[UNDEF]'
2022-05-14 21:21:51 us=117064   management_flags = 0
2022-05-14 21:21:51 us=117088   shared_secret_file = '[UNDEF]'
2022-05-14 21:21:51 us=117115   key_direction = 1
2022-05-14 21:21:51 us=117141   ciphername = 'AES-256-GCM'
2022-05-14 21:21:51 us=117166   ncp_enabled = ENABLED
2022-05-14 21:21:51 us=117192   ncp_ciphers = 'AES-256-GCM:AES-128-GCM'
2022-05-14 21:21:51 us=117215   authname = 'SHA1'
2022-05-14 21:21:51 us=117241   prng_hash = 'SHA1'
2022-05-14 21:21:51 us=117270   prng_nonce_secret_len = 16
2022-05-14 21:21:51 us=117296   keysize = 0
2022-05-14 21:21:51 us=117323   engine = DISABLED
2022-05-14 21:21:51 us=117348   replay = ENABLED
2022-05-14 21:21:51 us=117373   mute_replay_warnings = DISABLED
2022-05-14 21:21:51 us=117404   replay_window = 64
2022-05-14 21:21:51 us=117428   replay_time = 15
2022-05-14 21:21:51 us=117450   packet_id_file = '[UNDEF]'
2022-05-14 21:21:51 us=117471   test_crypto = DISABLED
2022-05-14 21:21:51 us=117492   tls_server = DISABLED
2022-05-14 21:21:51 us=117514   tls_client = ENABLED
2022-05-14 21:21:51 us=117535   ca_file = '/home/mag/openvpn/ca.crt'
2022-05-14 21:21:51 us=117564   ca_path = '[UNDEF]'
2022-05-14 21:21:51 us=117594   dh_file = '[UNDEF]'
2022-05-14 21:21:51 us=117622   cert_file = '[UNDEF]'
2022-05-14 21:21:51 us=117645   extra_certs_file = '[UNDEF]'
2022-05-14 21:21:51 us=117668   priv_key_file = '[UNDEF]'
2022-05-14 21:21:51 us=117691   pkcs12_file = '[UNDEF]'
2022-05-14 21:21:51 us=117713   cipher_list = '[UNDEF]'
2022-05-14 21:21:51 us=117734   cipher_list_tls13 = '[UNDEF]'
2022-05-14 21:21:51 us=117755   tls_cert_profile = '[UNDEF]'
2022-05-14 21:21:51 us=117776   tls_verify = '[UNDEF]'
2022-05-14 21:21:51 us=117801   tls_export_cert = '[UNDEF]'
2022-05-14 21:21:51 us=117817   verify_x509_type = 0
2022-05-14 21:21:51 us=117834   verify_x509_name = '[UNDEF]'
2022-05-14 21:21:51 us=117850   crl_file = '[UNDEF]'
2022-05-14 21:21:51 us=117867   ns_cert_type = 0
2022-05-14 21:21:51 us=117910   remote_cert_ku[i] = 65535
2022-05-14 21:21:51 us=117931   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=117948   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=117965   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=117981   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118001   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118012   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118023   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118034   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118044   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118055   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118066   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118076   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118087   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118098   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118108   remote_cert_ku[i] = 0
2022-05-14 21:21:51 us=118119   remote_cert_eku = 'TLS Web Server Authentication'
2022-05-14 21:21:51 us=118133   ssl_flags = 0
2022-05-14 21:21:51 us=118147   tls_timeout = 2
2022-05-14 21:21:51 us=118162   renegotiate_bytes = -1
2022-05-14 21:21:51 us=118176   renegotiate_packets = 0
2022-05-14 21:21:51 us=118190   renegotiate_seconds = 3600
2022-05-14 21:21:51 us=118205   handshake_window = 60
2022-05-14 21:21:51 us=118219   transition_window = 3600
2022-05-14 21:21:51 us=118230   single_session = DISABLED
2022-05-14 21:21:51 us=118240   push_peer_info = DISABLED
2022-05-14 21:21:51 us=118251   tls_exit = DISABLED
2022-05-14 21:21:51 us=118261   tls_crypt_v2_metadata = '[UNDEF]'
2022-05-14 21:21:51 us=118272   pkcs11_providers = /usr/lib64/librtpkcs11ecp.so
2022-05-14 21:21:51 us=118283   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118294   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118305   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118315   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118326   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118337   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118360   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118372   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118383   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118394   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118405   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118416   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118427   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118437   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118448   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118459   pkcs11_protected_authentication = DISABLED
2022-05-14 21:21:51 us=118470   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118481   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118492   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118503   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118514   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118524   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118535   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118546   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118557   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118568   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118578   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118589   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118600   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118611   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118621   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118632   pkcs11_private_mode = 00000000
2022-05-14 21:21:51 us=118642   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118652   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118663   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118673   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118683   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118694   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118705   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118716   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118726   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118737   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118748   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118758   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118768   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118780   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118790   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118801   pkcs11_cert_private = DISABLED
2022-05-14 21:21:51 us=118813   pkcs11_pin_cache_period = 300
2022-05-14 21:21:51 us=118825   pkcs11_id = 'Aktiv\x20Co\x2E/Rutoken\x20ECP/3185803b/Rutoken\x20ECP\x20\x3Cno\x20label\x3E/65303837376533642D373432362D346630302D396162612D3138303131383162343330395F45'
2022-05-14 21:21:51 us=118836   pkcs11_id_management = DISABLED
2022-05-14 21:21:51 us=118850   server_network = 0.0.0.0
2022-05-14 21:21:51 us=118861   server_netmask = 0.0.0.0
2022-05-14 21:21:51 us=118896   server_network_ipv6 = ::
2022-05-14 21:21:51 us=118910   server_netbits_ipv6 = 0
2022-05-14 21:21:51 us=118923   server_bridge_ip = 0.0.0.0
2022-05-14 21:21:51 us=118935   server_bridge_netmask = 0.0.0.0
2022-05-14 21:21:51 us=118947   server_bridge_pool_start = 0.0.0.0
2022-05-14 21:21:51 us=118958   server_bridge_pool_end = 0.0.0.0
2022-05-14 21:21:51 us=118969   ifconfig_pool_defined = DISABLED
2022-05-14 21:21:51 us=118981   ifconfig_pool_start = 0.0.0.0
2022-05-14 21:21:51 us=118992   ifconfig_pool_end = 0.0.0.0
2022-05-14 21:21:51 us=119003   ifconfig_pool_netmask = 0.0.0.0
2022-05-14 21:21:51 us=119015   ifconfig_pool_persist_filename = '[UNDEF]'
2022-05-14 21:21:51 us=119026   ifconfig_pool_persist_refresh_freq = 600
2022-05-14 21:21:51 us=119036   ifconfig_ipv6_pool_defined = DISABLED
2022-05-14 21:21:51 us=119048   ifconfig_ipv6_pool_base = ::
2022-05-14 21:21:51 us=119059   ifconfig_ipv6_pool_netbits = 0
2022-05-14 21:21:51 us=119073   n_bcast_buf = 256
2022-05-14 21:21:51 us=119083   tcp_queue_limit = 64
2022-05-14 21:21:51 us=119093   real_hash_size = 256
2022-05-14 21:21:51 us=119103   virtual_hash_size = 256
2022-05-14 21:21:51 us=119112   client_connect_script = '[UNDEF]'
2022-05-14 21:21:51 us=119122   learn_address_script = '[UNDEF]'
2022-05-14 21:21:51 us=119131   client_disconnect_script = '[UNDEF]'
2022-05-14 21:21:51 us=119140   client_config_dir = '[UNDEF]'
2022-05-14 21:21:51 us=119151   ccd_exclusive = DISABLED
2022-05-14 21:21:51 us=119161   tmp_dir = '/tmp/.private/mag'
2022-05-14 21:21:51 us=119172   push_ifconfig_defined = DISABLED
2022-05-14 21:21:51 us=119185   push_ifconfig_local = 0.0.0.0
2022-05-14 21:21:51 us=119200   push_ifconfig_remote_netmask = 0.0.0.0
2022-05-14 21:21:51 us=119211   push_ifconfig_ipv6_defined = DISABLED
2022-05-14 21:21:51 us=119223   push_ifconfig_ipv6_local = ::/0
2022-05-14 21:21:51 us=119234   push_ifconfig_ipv6_remote = ::
2022-05-14 21:21:51 us=119245   enable_c2c = DISABLED
2022-05-14 21:21:51 us=119256   duplicate_cn = DISABLED
2022-05-14 21:21:51 us=119269   cf_max = 0
2022-05-14 21:21:51 us=119284   cf_per = 0
2022-05-14 21:21:51 us=119299   max_clients = 1024
2022-05-14 21:21:51 us=119313   max_routes_per_client = 256
2022-05-14 21:21:51 us=119328   auth_user_pass_verify_script = '[UNDEF]'
2022-05-14 21:21:51 us=119342   auth_user_pass_verify_script_via_file = DISABLED
2022-05-14 21:21:51 us=119356   auth_token_generate = DISABLED
2022-05-14 21:21:51 us=119368   auth_token_lifetime = 0
2022-05-14 21:21:51 us=119378   auth_token_secret_file = '[UNDEF]'
2022-05-14 21:21:51 us=119389   port_share_host = '[UNDEF]'
2022-05-14 21:21:51 us=119404   port_share_port = '[UNDEF]'
2022-05-14 21:21:51 us=119416   vlan_tagging = DISABLED
2022-05-14 21:21:51 us=119428   vlan_accept = all
2022-05-14 21:21:51 us=119438   vlan_pvid = 1
2022-05-14 21:21:51 us=119449   client = ENABLED
2022-05-14 21:21:51 us=119459   pull = ENABLED
2022-05-14 21:21:51 us=119471   auth_user_pass_file = '[UNDEF]'
2022-05-14 21:21:51 us=119485 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2022
2022-05-14 21:21:51 us=119516 library versions: OpenSSL 1.1.1n  15 Mar 2022, LZO 2.10
2022-05-14 21:21:51 us=119642 PKCS#11: Adding PKCS#11 provider '/usr/lib64/librtpkcs11ecp.so'
2022-05-14 21:21:51 us=253522 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-05-14 21:21:51 us=253570 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-05-14 21:21:51 us=253734 Control Channel MTU parms [ L:1623 D:1182 EF:68 EB:0 ET:0 EL:3 ]
2022-05-14 21:21:51 us=253804 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
2022-05-14 21:21:51 us=253853 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1551,tun-mtu 1500,proto TCPv4_CLIENT,keydir 1,cipher AES-256-GCM,auth [null-digest],keysize 256,tls-auth,key-method 2,tls-client'
2022-05-14 21:21:51 us=253872 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1551,tun-mtu 1500,proto TCPv4_SERVER,keydir 0,cipher AES-256-GCM,auth [null-digest],keysize 256,tls-auth,key-method 2,tls-server'
2022-05-14 21:21:51 us=253927 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
2022-05-14 21:21:51 us=253984 Socket Buffers: R=[131072->131072] S=[16384->16384]
2022-05-14 21:21:51 us=254008 Attempting to establish TCP connection with [AF_INET]X.X.X.X:1194 [nonblock]
2022-05-14 21:21:51 us=275963 TCP connection established with [AF_INET]X.X.X.X:1194
2022-05-14 21:21:51 us=276038 TCP_CLIENT link local: (not bound)
2022-05-14 21:21:51 us=276076 TCP_CLIENT link remote: [AF_INET]X.X.X.X:1194
2022-05-14 21:21:51 us=297913 TLS: Initial packet from [AF_INET]X.X.X.X:1194, sid=863a38bc 1a508612
2022-05-14 21:21:51 us=367484 VERIFY OK: depth=1, CN=ca
2022-05-14 21:21:51 us=367871 VERIFY KU OK
2022-05-14 21:21:51 us=367917 Validating certificate extended key usage
2022-05-14 21:21:51 us=367935 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2022-05-14 21:21:51 us=367950 VERIFY EKU OK
2022-05-14 21:21:51 us=367963 VERIFY OK: depth=0, CN=server
2022-05-14 21:21:51 us=368805 OpenSSL: error:141F0006:SSL routines:tls_construct_cert_verify:EVP lib
2022-05-14 21:21:51 us=368846 TLS_ERROR: BIO read tls_read_plaintext error
2022-05-14 21:21:51 us=368869 TLS Error: TLS object -> incoming plaintext read error
2022-05-14 21:21:51 us=368911 TLS Error: TLS handshake failed
2022-05-14 21:21:51 us=369105 Fatal TLS error (check_tls_errors_co), restarting
2022-05-14 21:21:51 us=369177 TCP/UDP: Closing socket
2022-05-14 21:21:51 us=369288 SIGUSR1[soft,tls-error] received, process restarting
2022-05-14 21:21:51 us=369346 Restart pause, 5 second(s)

Куда копать дальше?

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Добрый день.
Попробуйте обновить библиотеку rtpkcs11ecp до последней версии с нашего сайта https://www.rutoken.ru/support/download/pkcs/
В версии библиотеки 2.1.2 еще не было поддержки механизмов, требуемых для TLS 1.3.

Ответ от Mikele

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Аверченко Кирилл

Добрый день.

Библиотека из коробки была 2.3.2, обновил до 2.3.3.
Результат тот же.

На странице загрузки заявлена поддержка версий Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0. У меня просто Рутокен ЭЦП.
Может ли быть так, что ранние версии просто не поддерживаются и не добавляется функционал в библиотеку?
Под Windows этот же ключ с библиотекой работает.

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Добрый день.
Рутокен ЭЦП должен работать с RSA ключами длины 2048 так же как и более новые модификации.
На Windows у вас конфигурация клиента точно такая же?
Если на Alt закоментировать строку remote-cert-tls server, соединение установится?

Ответ от Mikele (2022-05-17 13:15:00 отредактировано Mikele)

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Кирилл, добрый день.

На Windows конфигурация точно такая, только пути другие.
Ключ RSA 2048.

Сейчас попробовал на другой Альт машине, соединения нет, ошибка та же
Строку remote-cert-tls server на клиенте закомментировал, ничего не поменялось.

Обратил внимание на вывод pcsc_scan:

# pcsc_scan
Using reader plug'n play mechanism
Scanning present readers...
0: Generic CCID Reader (000000003185803B) 00 00
 
Tue May 17 13:08:26 2022
 Reader 0: Generic CCID Reader (000000003185803B) 00 00
  Event number: 1
  Card state: Card inserted, 
  ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 20 44 53 20 C1

ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 20 44 53 20 C1
+ TS = 3B --> Direct Convention
+ T0 = 8B, Y(1): 1000, K: 11 (historical bytes)
  TD(1) = 01 --> Y(i+1) = 0000, Protocol T = 1 
-----
+ Historical bytes: 52 75 74 6F 6B 65 6E 20 44 53 20
  Category indicator byte: 52 (proprietary format)
+ TCK = C1 (correct checksum)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 8B 01 52 75 74 6F 6B 65 6E 20 44 53 20 C1
    Aktiv Rutoken ECP
    https://www.rutoken.ru/products/all/rutoken-ecp/
 
Tue May 17 13:08:26 2022
 Reader 0: Generic CCID Reader (000000003185803B) 00 00
  Event number: 0
  Card state: Status unavailable,

Так и должно быть?

Reader 0: Generic CCID Reader (000000003185803B) 00 00
  Event number: 0
  Card state: Status unavailable,


# rpm -q ccid pcsc-lite pcsc-tools opensc
пакет ccid не установлен
pcsc-lite-1.9.5-alt1.x86_64
pcsc-tools-1.6.0-alt1.x86_64
opensc-0.21.0-alt1.x86_64

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Если возможно, пришлите, пожалуйста, конфиг сервера на почту averchenko@rutoken.ru.

Ответ от Mikele

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Отправил.

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Нашли, в чем проблема. https://community.openvpn.net/openvpn/t … #comment:6
Необходимо использовать библиотеку pkcs11-helper https://github.com/OpenSC/pkcs11-helper версии 1.26 и новее.
В Alt используется библиотека версии 1.25. После пересборки библиотеки, подключение успешно устанавливается.
Скачал последние исходники и собрал по следующей схеме:
$su
#apt-get install git automake autoconf libtool libssl-devel pkg-config gcc
#autoreconf -i
#./configure
#make
#make install
#mv /usr/lib64/libpkcs11-helper.so.1.0.0 /usr/lib64/libpkcs11-helper.so.1.0.0-origin
#cp /usr/local/lib/libpkcs11-helper.so /usr/lib64/libpkcs11-helper.so.1.0.0
#rm /usr/lib64/libpkcs11-helper.so.1
#ln -s /usr/lib64/libpkcs11-helper.so.1.0.0 /usr/lib64/libpkcs11-helper.so.1

Ответ от Mikele

  • Mikele
  • Посетитель
  • Неактивен

Re: OpenVPN+Rutoken S+неэкспортируемая пара: не принимает пароль токена

Кирилл, спасибо.

Странно, что альты не пофиксили библиотеку в своем репозитарии, ведь прошло уже почти два года.
В текущих реалиях нужно быть готовым к использованию отечественного софта, а с ним пока проблемы.