tpm2 pkcs11 도구를 사용하도록 WPA 신청자 구성

tag-icon tag-icon linux certificate tpm wpa-supplicant
tpm2 pkcs11 도구를 사용하도록 WPA 신청자 구성

회사 네트워크에 연결하기 위해 TPM 2.0 관리 인증서로 인증하도록 WPA 신청자를 구성하고 싶습니다.

내 TPM에서 관리하는 RSA 키 쌍을 만들고 CSR을 생성하고 회사 CA에서 서명한 인증서를 받았습니다. 이제 이 인증서를 사용하도록 WPA 신청자를 구성해야 하며 TPM 1.0에 유효한 예를 1개만 찾았습니다.

https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf

# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)

# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so  -O -l
# Please enter User PIN:
# Private Key Object; RSA
#   label:      rsakey
#   ID:         04
#   Usage:      decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
#   label:      ca
#   ID:         01
# Certificate Object, type = X.509 cert
#   label:      cert
#   ID:         04

# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"

    # use OpenSSL PKCS#11 engine for this network
    engine=1
    engine_id="pkcs11"

    # select the private key and certificates based on ID (see pkcs11-tool
    # output above)
    key_id="4"
    cert_id="4"
    ca_cert_id="1"

    # set the PIN code; leave this out to configure the PIN to be requested
    # interactively when needed (e.g., via wpa_gui or wpa_cli)
    pin="123456"
}

pkcs11_engine_pathTPM 2.0 호환 유틸리티에 대한 경로를 변경할 때 pkcs11_module_path이 구성에서 내 인증서를 어떻게 사용합니까? TPM에서도 관리되도록 해야 하나요? 어떻게 해야 하나요?

도움을 주셔서 미리 감사드립니다.

답변1

TPM별 PKCS#11 예제는 필요하지 않습니다. 다른 PKCS#11 모듈처럼 작동합니다. Yubikey 또는 SoftHSM2와 함께 작동할 수 있다면 tpm2-pkcs11과 정확히 동일해야 합니다.

예, 많은 프로그램에서는 해당 키와 동일한 PKCS#11 모듈을 통해 인증서에 액세스할 수 있을 것으로 기대합니다. 인증서를 가져오는 기능은 실제로 불과 며칠 전에 tpm2-pkcs11에 추가되었습니다. (그리고 Git 마스터에서 빌드할 계획이라면 DB 형식도 변경되었다는 점에 유의하세요.)

그러나 wpa_supplicant(OpenSSL을 사용하는 경우)는 이제 "pkcs11:" URI를 인식하고 자동으로engine_pkcs11을 로드합니다. 더 이상 engine=또는 옵션을 사용할 필요가 없습니다 key_id=. 대신 다음을 사용할 수 있습니다.

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
    private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}

따라서 이론상으로는 개인 키에 대한 토큰 URI를 계속 사용하면서 로컬 파일 경로를 클라이언트 인증서로 지정할 수 있습니다.

답변2

이것은 나에게 효과적이었습니다.

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    ca_cert="pkcs11:id=%03;type=cert"
    client_cert="pkcs11:id=%04;type=cert"
    private_key="pkcs11:id=%04;type=private;pin-value=123456"
}

유형은 "인증서"가 아니라 "인증서"입니다. 또한 핀 값은 사용되지 않더라도 private_key에 있어야 합니다(슬롯 9e).

관련 정보