...

В данной инструкции описывается, как настроить авторизацию в OpenVPN с помощью Рутокен ЭЦП 2.0.

За основу взята статья http://habrahabr.ru/company/aktiv-company/blog/137306/.

...

Убедитесь, что используете: Aktiv Rutoken ECP или устройство имеет содержит в ID значение 0a89 

Стенд

Для примера возьмем Рутокен ЭЦП 2.0 2100, отформатированный через Панель управления Рутокен, сервер и клиент. В качестве дистрибутива использовалась Ubuntu 1804.

...

$ openssl dhparam -out dh1024dh2048.pem 10242048

7.Создаем конфигурационный файл сервера OpenVPN:

...

port 1194
proto tcp
dev tap

ca /home/asduser/CA.crt
cert /home/asduser/Server.crt
key /home/asduser/Serverkey.pem
dh /home/asduser/dh1024dh2048.pem

server 10.0.0.0  255.255.255.0
ifconfig-pool-persist ipp.txt

keepalive 10 120

cipher BF-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

...

$ sudo openvpn --config /home/asduser/openvpn.conf

Клиент

9. Устанавливаем пакеты, необходимые для работы Рутокен ЭЦП:

...

$ sudo apt-get install openvpn

11. Узнаем ID контейнера, в котором на Рутокен ЭЦП хранятся ключ и сертификат. Узнать этот ID можно с помощью команды:

$ openvpn --show-pkcs11-ids [путь к библиотеке PKCS#11 Рутокен ЭЦП]

12. Создаем конфигурационный файл клиента.

client
dev tap
proto tcp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca /home/qwe/CA.crt
pkcs11-providers /usr/lib/librtpkcs11ecp.so
pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20ECP/2d105684/Rutoken\x20ECP\x20\x3Cno\x20label\x3E/C67F8A314C24E080'

pkcs11-pin-cache 300

comp-lzo
verb 3

• В параметре pkcs11-providers указываем путь к библиотеке PKCS#11.

• В параметре pkcs11-id

...

• указываем  ID контейнера,

...

• полученный на 11 шаге

13

$ openvpn --show-pkcs11-ids [путь к библиотеке PKCS#11 Рутокен ЭЦП]

12. Подключаемся к VPN-серверу:

$ openvpn --config [путь к файлу конфига]