Ma ei tea kui palju seda kombinatsiooni kasutatakse, kuid olles ise just olnud hädas, äkki on kellelegi abiks või õnnestub suisa kedagi provotseerida asja ära parandama (allpool toodu on kõigest häkk).
Nii Tunnelblicki kui ka Viscosity foorumites leiab piisavalt postitusi, kus kurdetakse, et PKCS#11 tugi tegelikult ei tööta. Mu kogemus kinnitas seda, kuid ma ei tahtnud veel püssi põõsasse visata ning katse debugida andis piisavalt infot, et õiged vihjed Internetist üles leida.
Probleem paistab olevat seotud execve(2) ja PKCS#11 koodiga. Iga execve(2) tähendab millegi pärast uut kaardi initsialiseerimist, mis aga mingitel põhjustel hangub. execve(2) aga käivitatakse iga ifconfig(8)/route(8)/jms konfigureerimise käsu andmiseks.
Häkiks, kuid täiesti töötavaks lahenduseks on execve(2) vältimine. OpenVPN 2.2 ja varasematele versioonidele saab öelda, et execve(2) asemel kasutataks system(2) funktsiooni. OpenVPN 2.3 versioonist on see funktsionaalsus ebaturvalisuse tõttu eemaldatud, kuid nii Tunnelblick kui ka Viscosity saab seadistada veel 2.2 versiooni kasutama (kuigi 2.3 on juba mõlemal vaikimisi kasutuses). Võtmesõnaks on ‘script-security 2 system’ konfifaili (või vastavalt ‘–script-security 2 system’ käsurealt). Kahjuks ignoreerib Tunnelblick seda rida konfifailis, kuid Viscosity konfis toimib ilusti. Märkuseks, et Viscosity loeb seda (arusaadavatel põhjustel) ebaturvaliseks konfiguratsioonireaks ning ignoreerib seda vaikeseadetes, kuid see on muudetav.
Viiteid neile, kes soovivad edasi kaevata: