OpenVPN 与智能卡 2FA

OpenVPN 与智能卡 2FA

我有一个可用的 OpenVPN 设置,它使用 X.509 证书进行身份验证。为了实现双因素身份验证,我想在智能卡上注册新密钥/证书。Aventra MyEID 是与 OpenSC 和 CA 注册流程配合最顺畅的卡,所以我从这张卡开始。

在 Linux 上,OpenVPN 客户端(OpenVPN 2.4.0、opensc-pkcs11 0.16.0-3、libpkcs11-helper1 1.21-1 / Debian Stretch)在应该提示输入卡 PIN 时冻结。起初我怀疑是 pinentry/askpass 问题,但当我尝试使用时,它pkcs11-id在 PKCS11 提供商初始化期间已经冻结(没有响应信号,除了kill -9)。

在 Windows 上,测试客户端达到与卡联系的点,但随后显示了一个听起来类似于此错误的错误:https://bugzilla.redhat.com/show_bug.cgi?id=1516474

当我使用 2.3 版 OpenVPN 客户端时,Windows 设置可以正常运行,它为我提供了一个有效的 PKCS11 URI:

/usr/sbin/openvpn --show-pkcs11-ids (path-to-provider)

2.4 版本给了我不同的 ID,这不起作用。但是当我使用pkcs11-id2.3 版本告诉我的 ID 时,它也能正常工作。

我的同事一直在评估其他卡(Yubi 和 Nitrokey),但他们也认为 OpenVPN 2.4 的 PCS11 接口与这些卡的配合效果不是特别好。

如果有人正在使用 Smartards 运行可靠的 OpenVPN 2.4 设置,您能分享您正在使用的卡吗?

祝好,德克

相关内容