Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Рутокен и Open Source → OpenVPN + rutoken + неэкспортируемая пара ГОСТ = возможно? (решено!)
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Собственно вопрос изложен в теме.
ОpenVPN собственно взлетает как на linux, так и на Windows, ключики ГОСТ 2012 512 (в файлах) - все работает, но через pkcs11 ключики не идентифицируются, а очень бы хотелось хранить ключики на рутокенах?
Есть подозрение, что в Рутокен VPN, есть реализация - нет в наличии, чтоб посмотреть.
У кого есть? Поделитесь примером листинга клиентского файла client.ovpn?
Сергей Оглы, приветствую!!
Уточните, пожалуйста, каким образом генерируете ключевую пару на Рутокене и как настраивали OpenVPN для работы с ГОСТами? Можем продолжить общение здесь или в почте, как вам удобно.
win - работает
dev tap
client
engine gost
remote IP.host.ru
auth gost-mac
cipher gost89
tls-cipher GOST2012-GOST8912-GOST8912
ca /CA/ca.crt
cert /CA/user.crt
key /CA/user.key
auth-nocache
keepalive 10 120
remote-cert-tls server
proto tcp
socket-flags TCP_NODELAY
persist-key
persist-tunСпасибо, а с помощью чего генерируете ключевую пару?
СА, сертификаты и ключи (файловые) через OpenSSL+engine_GOST.
На рутокене ключевую пару через ra.rutoken.ru + запрос на сертификат, потом выпускаю через OpenSSL
Ксения Шаврова, а можно пример файла клиента (.ovpn) от Рутокен VPN?
Сергей Оглы, правильно мы понимаем, что вы используете OpenVPN-ГОСТ от компании Криптоком?
Павел Анфимов, нет, стандартный из исходников собранный.
[root@nginx ~]# openssl
OpenSSL> version
OpenSSL 1.1.1g 21 Apr 2020
OpenSSL> engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine
OpenSSL>
[root@nginx sbin]# ./openvpn --version
OpenVPN 2.4.9 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on May 19 2020
library versions: OpenSSL 1.1.1g 21 Apr 2020, LZO 2.06
Originally developed by James Yonan
Copyright (C) 2002-2018 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_werror=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_sysroot=noСергей Оглы, для работы с ключами на токене попробуйте заменить engine_GOST на rtengine.
Руководства как сконфигурировать OpenSSL с ним и использовать:
https://dev.rutoken.ru/pages/viewpage.a … d=43450391
https://dev.rutoken.ru/pages/viewpage.a … d=43450394
Павел Анфимов, OpenVPN + rtengine не работает с токенами, файловый вариант работает.
Исследования показали: в openvpn не работает pkcs11+rutoken, т.к. pkcs11-helper не узнает ГОСТ-сертификаты и rtengine и rtpkcs11ecp никакого отношения не имеют. Решение: stunnel + openvpn. Stunnel прекрасно работает с openssl + gost + rutoken, а поверх поднимаем openvpn. По ощущению данная реализация производительней чем openvpn + файловые ГОСТ-сертификаты.
Поскольку engine_GOST работает с софтвеными ключами pkcs11_helper не участвует.
Про то, как шифровать TLS-траффик по ГОСТ-2012 с помощью stunnel и rtengine есть подробная статья: https://habr.com/ru/company/aktiv-company/blog/477650/
Поделитесь клиентским конфигом (.ovpn) от Рутокен VPN с гост шифрованием???????
Сергей Оглы, к сожалению, Рутокен VPN при работе по протоколам ГОСТ не использует механизм файлов *.ovpn.
Вся необходимая для подключения информация хранится на токене.
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Рутокен и Open Source → OpenVPN + rutoken + неэкспортируемая пара ГОСТ = возможно? (решено!)