tpm2 pkcs11 ツールを使用するように WPA サプリカントを構成する

tag-icon tag-icon linux certificate tpm wpa-supplicant
tpm2 pkcs11 ツールを使用するように WPA サプリカントを構成する

会社のネットワークに接続するために、TPM 2.0 管理証明書で認証するように WPA サプリカントを設定したいと思います。

TPM で管理される RSA キー ペアを作成し、CSR を生成し、会社の CA によって署名された証明書を受け取りました。次に、この証明書を使用するように WPA サプリカントを構成する必要がありますが、TPM 1.0 に有効な例は 1 つしか見つかりませんでした。

https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf

# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)

# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so  -O -l
# Please enter User PIN:
# Private Key Object; RSA
#   label:      rsakey
#   ID:         04
#   Usage:      decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
#   label:      ca
#   ID:         01
# Certificate Object, type = X.509 cert
#   label:      cert
#   ID:         04

# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"

    # use OpenSSL PKCS#11 engine for this network
    engine=1
    engine_id="pkcs11"

    # select the private key and certificates based on ID (see pkcs11-tool
    # output above)
    key_id="4"
    cert_id="4"
    ca_cert_id="1"

    # set the PIN code; leave this out to configure the PIN to be requested
    # interactively when needed (e.g., via wpa_gui or wpa_cli)
    pin="123456"
}

pkcs11_engine_pathTPM 2.0 互換ユーティリティへのパスを変更する場合pkcs11_module_path、この構成で証明書を使用するにはどうすればよいでしょうか? 証明書も TPM で管理する必要がありますか? また、その方法は?

ご協力いただければ幸いです。

答え1

TPM 固有の PKCS#11 の例は必要ありません。他の PKCS#11 モジュールと同じように動作します。Yubikey または SoftHSM2 で動作させることができれば、tpm2-pkcs11 でもまったく同じ動作になるはずです。

はい、多くのプログラムは、対応するキーと同じ PKCS#11 モジュールを通じて証明書にアクセスできることを想定しています。証明書をインポートする機能は、実は数日前に tpm2-pkcs11 に追加されました。(Git マスターからビルドする予定の場合は、DB 形式も変更されていることに注意してください。)

ただし、wpa_supplicant (OpenSSL を使用している場合) は "pkcs11:" URI を認識し、engine_pkcs11 を自動的にロードするようになりました。engine=またはkey_id=オプションを使用する必要がなくなりました。代わりに、以下を使用できます。

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
    private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}

したがって、理論的には、秘密キーにトークン URI を使用しながら、ローカル ファイル パスをクライアント証明書として指定できるようになります。

答え2

これは私にとってはうまくいきました:

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    ca_cert="pkcs11:id=%03;type=cert"
    client_cert="pkcs11:id=%04;type=cert"
    private_key="pkcs11:id=%04;type=private;pin-value=123456"
}

タイプは「certificate」ではなく「cert」であることに注意してください。また、使用されていない場合でも、pin-value は private_key に存在する必要があります (スロット 9e)。

関連情報