Я хотел бы настроить WPA-запросчик на аутентификацию с использованием управляемого сертификата TPM 2.0 для подключения к корпоративной сети.
Я создал пару ключей RSA, управляемую моим TPM, сгенерировал CSR и получил сертификат, подписанный CA компании. Теперь мне нужно настроить WPA supplicant для использования этого сертификата, и я нашел только 1 пример, который действителен для TPM 1.0:
https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf
# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)
# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so -O -l
# Please enter User PIN:
# Private Key Object; RSA
# label: rsakey
# ID: 04
# Usage: decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
# label: ca
# ID: 01
# Certificate Object, type = X.509 cert
# label: cert
# ID: 04
# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
# use OpenSSL PKCS#11 engine for this network
engine=1
engine_id="pkcs11"
# select the private key and certificates based on ID (see pkcs11-tool
# output above)
key_id="4"
cert_id="4"
ca_cert_id="1"
# set the PIN code; leave this out to configure the PIN to be requested
# interactively when needed (e.g., via wpa_gui or wpa_cli)
pin="123456"
}
Когда я меняю пути к pkcs11_engine_pathи pkcs11_module_pathк совместимым с TPM 2.0 утилитам, как использовать мой сертификат в этой конфигурации? Должен ли я сделать его управляемым TPM и как?
Заранее благодарю за любую помощь.
решение1
Вам не нужны примеры PKCS#11, специфичные для TPM – они работают как любой другой модуль PKCS#11. Если вы можете заставить его работать с Yubikey или SoftHSM2, то с tpm2-pkcs11 должно быть то же самое.
Да, многие программы ожидают, что сертификат будет доступен через тот же модуль PKCS#11, что и соответствующий ключ. Возможность импорта сертификатов была фактически добавлена в tpm2-pkcs11 всего несколько дней назад. (И если вы планируете сборку из Git master, учтите, что формат DB также изменился.)
Однако wpa_supplicant (при использовании OpenSSL) теперь распознает URI "pkcs11:" и автоматически загружает engine_pkcs11; вам больше не нужно использовать параметры engine=или key_id=. Вместо этого вы можете использовать:
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}
Таким образом, теоретически это должно позволить вам указать локальный путь к файлу в качестве клиентского сертификата, продолжая при этом использовать токен URI для закрытого ключа.
решение2
Мне это помогло:
network={
ssid="test network"
key_mgmt=WPA-EAP
eap=TLS
identity="User"
ca_cert="pkcs11:id=%03;type=cert"
client_cert="pkcs11:id=%04;type=cert"
private_key="pkcs11:id=%04;type=private;pin-value=123456"
}
Обратите внимание, что тип — «cert», а не «certificate». Также значение pin-кода должно присутствовать в private_key, даже если оно не используется (слот 9e).