主页 / computer / 问题 / 1510368
Accepted
Jiří Malák
Asked: 2019-12-17 02:23:39 +0800 CST

配置 WPA 请求者以使用 tpm2 pkcs11 工具

  • 772

我想将 WPA 请求者配置为使用 TPM 2.0 托管证书进行身份验证,以便连接到公司网络。

我创建了由我的 TPM 管理的 RSA 密钥对,生成了 CSR 并收到了由公司 CA 签名的证书。现在我需要配置 WPA 请求者以使用此证书,发现只有 1 个对 TPM 1.0 有效的示例:

https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf

# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)

# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so  -O -l
# Please enter User PIN:
# Private Key Object; RSA
#   label:      rsakey
#   ID:         04
#   Usage:      decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
#   label:      ca
#   ID:         01
# Certificate Object, type = X.509 cert
#   label:      cert
#   ID:         04

# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"

    # use OpenSSL PKCS#11 engine for this network
    engine=1
    engine_id="pkcs11"

    # select the private key and certificates based on ID (see pkcs11-tool
    # output above)
    key_id="4"
    cert_id="4"
    ca_cert_id="1"

    # set the PIN code; leave this out to configure the PIN to be requested
    # interactively when needed (e.g., via wpa_gui or wpa_cli)
    pin="123456"
}

当我更改pkcs11_engine_pathpkcs11_module_pathTPM 2.0 兼容实用程序的路径时,如何在此配置中使用我的证书?我也应该让它由 TPM 管理吗?如何管理?

提前感谢您的帮助。

linux certificate

2 个回答

  1. Best Answer

    您不需要特定于 TPM 的 PKCS#11 示例——它们的工作方式与任何其他 PKCS#11 模块一样。如果你可以让它与 Yubikey 或 SoftHSM2 一起工作,那么它应该与 tpm2-pkcs11 完全相同。

    是的,许多程序都希望证书可以通过与相应密钥相同的 PKCS#11 模块进行访问。导入证书的功能实际上是在几天前添加到 tpm2-pkcs11 中的。(如果您打算从 Git master 构建,请注意 DB 格式也已更改。)

    但是,wpa_supplicant(如果使用 OpenSSL)现在可以识别“pkcs11:”URI 并自动加载 engine_pkcs11;您不再需要使用engine=orkey_id=选项。相反,您可以使用:

    network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
    private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}

    所以理论上这应该允许你指定一个本地文件路径作为客户端证书,同时仍然使用一个令牌 URI 作为私钥。

    • 2

  2. 这对我有用:

    network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    ca_cert="pkcs11:id=%03;type=cert"
    client_cert="pkcs11:id=%04;type=cert"
    private_key="pkcs11:id=%04;type=private;pin-value=123456"
}

    请注意,类型是“证书”而不是“证书”。即使未使用(插槽 9e),也需要在 private_key 上显示 pin-value。

    • 0

相关问题