Gostaria de configurar o suplicante WPA para autenticar com certificado gerenciado TPM 2.0 para se conectar à rede da empresa.
Criei um par de chaves RSA gerenciado pelo meu TPM, gerei CSR e recebi um certificado assinado pela CA da empresa. Agora preciso configurar o suplicante WPA para usar este certificado e encontrei apenas 1 exemplo válido para TPM 1.0:
https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf
# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)
# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so -O -l
# Please enter User PIN:
# Private Key Object; RSA
# label: rsakey
# ID: 04
# Usage: decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
# label: ca
# ID: 01
# Certificate Object, type = X.509 cert
# label: cert
# ID: 04
# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
# use OpenSSL PKCS#11 engine for this network
engine=1
engine_id="pkcs11"
# select the private key and certificates based on ID (see pkcs11-tool
# output above)
key_id="4"
cert_id="4"
ca_cert_id="1"
# set the PIN code; leave this out to configure the PIN to be requested
# interactively when needed (e.g., via wpa_gui or wpa_cli)
pin="123456"
}
Quando altero os caminhos para pkcs11_engine_pathutilitários pkcs11_module_pathcompatíveis com TPM 2.0, como usar meu certificado nesta configuração? Devo gerenciá-lo também pelo TPM e como?
Agradecemos antecipadamente por qualquer ajuda.
Responder1
Você não precisa de exemplos PKCS#11 específicos do TPM – eles funcionam como qualquer outro módulo PKCS#11. Se você conseguir fazê-lo funcionar com um Yubikey ou SoftHSM2, então deve ser exatamente o mesmo com tpm2-pkcs11.
Sim, muitos programas esperam que o certificado seja acessível através do mesmo módulo PKCS#11 que a chave correspondente. A capacidade de importar certificados foi adicionada ao tpm2-pkcs11 apenas alguns dias atrás. (E se você está planejando construir a partir do Git master, lembre-se de que o formato do banco de dados também mudou.)
No entanto, wpa_supplicant (se estiver usando OpenSSL) agora reconhece URIs "pkcs11:" e carrega automaticamente engine_pkcs11; você não precisa mais usar as opções engine=ou key_id=. Em vez disso, você pode usar:
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}
Então, em teoria, isso deve permitir que você especifique um caminho de arquivo local como certificado de cliente, enquanto ainda usa um URI de token para a chave privada.
Responder2
Isso funcionou para mim:
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
ca_cert="pkcs11:id=%03;type=cert"
client_cert="pkcs11:id=%04;type=cert"
private_key="pkcs11:id=%04;type=private;pin-value=123456"
}
Observe que o tipo é "cert" e não "certificado". Além disso, o valor pin precisa estar presente em private_key, mesmo que não seja usado (slot 9e).