配置 WPA 请求方以使用 tpm2 pkcs11 工具

tag-icon tag-icon linux certificate tpm wpa-supplicant
配置 WPA 请求方以使用 tpm2 pkcs11 工具

我想配置 WPA 请求者使用 TPM 2.0 管理证书进行身份验证,以便连接到公司网络。

我创建了由我的 TPM 管理的 RSA 密钥对,生成了 CSR 并收到了由公司 CA 签名的证书。现在我需要配置 WPA 请求者以使用此证书,并且仅发现 1 个对 TPM 1.0 有效的示例:

https://w1.fi/cgit/hostap/plain/wpa_supplicant/examples/openCryptoki.conf

# EAP-TLS using private key and certificates via OpenSSL PKCS#11 engine and
# openCryptoki (e.g., with TPM token)

# This example uses following PKCS#11 objects:
# $ pkcs11-tool --module /usr/lib/opencryptoki/libopencryptoki.so  -O -l
# Please enter User PIN:
# Private Key Object; RSA
#   label:      rsakey
#   ID:         04
#   Usage:      decrypt, sign, unwrap
# Certificate Object, type = X.509 cert
#   label:      ca
#   ID:         01
# Certificate Object, type = X.509 cert
#   label:      cert
#   ID:         04

# Configure OpenSSL to load the PKCS#11 engine and openCryptoki module
pkcs11_engine_path=/usr/lib/engines/engine_pkcs11.so
pkcs11_module_path=/usr/lib/opencryptoki/libopencryptoki.so

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"

    # use OpenSSL PKCS#11 engine for this network
    engine=1
    engine_id="pkcs11"

    # select the private key and certificates based on ID (see pkcs11-tool
    # output above)
    key_id="4"
    cert_id="4"
    ca_cert_id="1"

    # set the PIN code; leave this out to configure the PIN to be requested
    # interactively when needed (e.g., via wpa_gui or wpa_cli)
    pin="123456"
}

当我将路径更改为pkcs11_engine_pathpkcs11_module_pathTPM 2.0 兼容的实用程序时,如何在此配置中使用我的证书?我是否也应该让它由 TPM 管理,以及如何管理?

在此先感谢您的帮助。

答案1

您不需要特定于 TPM 的 PKCS#11 示例 - 它们的工作方式与任何其他 PKCS#11 模块一样。如果您可以让它与 Yubikey 或 SoftHSM2 一起工作,那么它应该与 tpm2-pkcs11 完全相同。

是的,许多程序都希望证书可以通过与相应密钥相同的 PKCS#11 模块访问。几天前,tpm2-pkcs11 中实际上添加了导入证书的功能。(如果您打算从 Git master 构建,请注意数据库格式也已更改。)

但是,wpa_supplicant(如果使用 OpenSSL)现在可以识别“pkcs11:”URI 并自动加载 engine_pkcs11;您不再需要使用engine=key_id=选项。相反,您可以使用:

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    client_cert="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=certificate"
    private_key="pkcs11:model=NPCT75x;token=JM;object=myfirstcert;type=private"
}

因此,从理论上讲,这应该允许您指定本地文件路径作为客户端证书,同时仍然使用令牌 URI 作为私钥。

答案2

这对我有用:

network={
    ssid="test network"
    key_mgmt=WPA-EAP
    eap=TLS
    identity="User"
    ca_cert="pkcs11:id=%03;type=cert"
    client_cert="pkcs11:id=%04;type=cert"
    private_key="pkcs11:id=%04;type=private;pin-value=123456"
}

请注意,类型是“cert”而不是“certificate”。此外,pin-value 需要存在于 private_key 上,即使它未使用(槽 9e)。

相关内容