Ich möchte den WPA-Supplicant so konfigurieren, dass er sich mit einem verwalteten TPM 2.0-Zertifikat authentifiziert, um eine Verbindung zum Firmennetzwerk herzustellen.
Ich habe ein von meinem TPM verwaltetes RSA-Schlüsselpaar erstellt, CSR generiert und ein von der Zertifizierungsstelle des Unternehmens signiertes Zertifikat erhalten. Jetzt muss ich den WPA-Supplicant so konfigurieren, dass er dieses Zertifikat verwendet, und habe nur 1 Beispiel gefunden, das für TPM 1.0 gültig ist:
https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf
# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)
# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so -O -l
# Please enter User PIN:
# Private Key Object; RSA
# label: rsakey
# ID: 04
# Usage: decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
# label: ca
# ID: 01
# Certificate Object, type = X.509 cert
# label: cert
# ID: 04
# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
# use OpenSSL PKCS#11 engine for this network
engine=1
engine_id="pkcs11"
# select the private key and certificates based on ID (see pkcs11-tool
# output above)
key_id="4"
cert_id="4"
ca_cert_id="1"
# set the PIN code; leave this out to configure the PIN to be requested
# interactively when needed (e.g., via wpa_gui or wpa_cli)
pin="123456"
}
Wie verwende ich mein Zertifikat in dieser Konfiguration, wenn ich Pfade zu pkcs11_engine_path
und pkcs11_module_path
zu TPM 2.0-kompatiblen Dienstprogrammen ändere? Sollte ich es auch von TPM verwalten lassen und wenn ja, wie?
Vielen Dank im Voraus für jede Hilfe.
Antwort1
Sie benötigen keine TPM-spezifischen PKCS#11-Beispiele – sie funktionieren wie jedes andere PKCS#11-Modul. Wenn Sie es mit einem Yubikey oder SoftHSM2 zum Laufen bringen, sollte es mit tpm2-pkcs11 genau dasselbe sein.
Ja, viele Programme erwarten, dass das Zertifikat über dasselbe PKCS#11-Modul zugänglich ist wie der entsprechende Schlüssel. Die Möglichkeit, Zertifikate zu importieren, wurde tpm2-pkcs11 erst vor ein paar Tagen hinzugefügt. (Und wenn Sie planen, von Git Master aus zu erstellen, beachten Sie, dass sich auch das DB-Format geändert hat.)
Allerdings erkennt wpa_supplicant (bei Verwendung von OpenSSL) jetzt „pkcs11:“-URIs und lädt engine_pkcs11 automatisch; Sie müssen die Optionen engine=
oder nicht mehr verwenden key_id=
. Stattdessen können Sie Folgendes verwenden:
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}
Theoretisch sollte Ihnen dies ermöglichen, einen lokalen Dateipfad als Client-Zertifikat anzugeben und gleichzeitig weiterhin eine Token-URI für den privaten Schlüssel zu verwenden.
Antwort2
Das hat bei mir funktioniert:
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
ca_cert="pkcs11:id=%03;type=cert"
client_cert="pkcs11:id=%04;type=cert"
private_key="pkcs11:id=%04;type=private;pin-value=123456"
}
Beachten Sie, dass der Typ „cert“ und nicht „certificate“ ist. Außerdem muss der PIN-Wert im privaten Schlüssel vorhanden sein, selbst wenn dieser nicht verwendet wird (Steckplatz 9e).