Yubikey: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Auf dieser Seite möchte ich einige Anwendungsbeispiele für den Yubikey Neo festhalten. =Yubikey als sicherer Client SSL Zertifikatsspeicher= Meine Bank hat…“) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 18: | Zeile 18: | ||
**pcsclite | **pcsclite | ||
**ccid | **ccid | ||
==Zertifikat hinzufügen== | |||
Sind alle Pakete installiert schließen wir den Yubikey an den PC an und starten den Yubikey Manager. Hier prüfen wir, ob unter CCID ein Häkchen gesetzt ist. Falls nicht, dies bitte tun und speichern. Man wird dann aufgefordert den Yubikey abzuziehen und wieder anzustecken. | |||
Nun prüfen, ob die Smartcard auf dem System sichtbar ist. Zuerst müssen wir `pcscd` starten | |||
<syntaxhighlight lang="bash"> | |||
sudo systemctl restart pcscd | |||
sudo systemctl enable pcscd.service | |||
</syntaxhighlight> | |||
Letzte Zeile aktiviert den `pcscd` beim Systemstart. | |||
Nun sollte die Smartcard auf dem System sichtbar sein. Das können wir mit `opensc-tool` bzw. `yubico-piv-tool` verifizieren: | |||
<syntaxhighlight lang="bash"> | |||
opensc-tool -list-readers | |||
# oder | |||
yubico-piv-tool -a list-readers | |||
</syntaxhighlight> | |||
Wird die Smartcard angezeigt, z. B. `Yubico Yubikey NEO OTP+U2F+CCID 00 00`, dann können wir den PKCS12 Keystore importieren: | |||
<syntaxhighlight lang="bash"> | |||
yubico-piv-tool -s 9a -i ACNLB.p12 -K PKCS12 -a import-key -a import-cert | |||
</syntaxhighlight> | |||
Ob der Import erfolgreich war, lässt sich mit folgendem Befehl verifizieren: | |||
<syntaxhighlight lang="bash"> | |||
yubico-piv-tool -a status | |||
</syntaxhighlight> | |||
==Zertifikat aus Yubikey benutzen== | |||
Version vom 25. Oktober 2017, 19:46 Uhr
Auf dieser Seite möchte ich einige Anwendungsbeispiele für den Yubikey Neo festhalten.
Yubikey als sicherer Client SSL Zertifikatsspeicher
Meine Bank hat mir für den sicheren Onlinebanking Zugang ein Client SSL Zertifikat ausgestellt. Anders als in Deutschland üblich, loggt man sich nicht mit den Zugangsdaten ein und bestätigt die Transaktion dann mit einer TAN (SMS, PUSH, PhotoTAN, usw.), sondern für den Login selbst wird ein zweiter Faktor (Client SSL Zertifikat) vorausgesetzt. Für die Ausführung der Transkation wird dann nur noch ein Passwort benötigt. Als Speicherort für das Zertifikat ist der Yubikey hervorragend geeignet, da er im sog. CCID Modus wie eine Smartcard arbeitet. Eine Smartcard hat die Eigenschaft, dass Schlüssel sicher aufbewahrt und benutzt werden können, aber nicht extrahiert werden können.
Voraussetzungen
- CCID Modus muss auf Yubikey aktiviert sein
- Client SSL Zertifikat und Schlüssel im PKCS12 Format
- Notwendige Softwarepakete sind installiert
- yubico-c
- yubico-c-client
- yubikey-personalization
- yubikey-personalization-gui
- yubikey-piv-manager
- opensc-tool
- pcsclite
- ccid
Zertifikat hinzufügen
Sind alle Pakete installiert schließen wir den Yubikey an den PC an und starten den Yubikey Manager. Hier prüfen wir, ob unter CCID ein Häkchen gesetzt ist. Falls nicht, dies bitte tun und speichern. Man wird dann aufgefordert den Yubikey abzuziehen und wieder anzustecken.
Nun prüfen, ob die Smartcard auf dem System sichtbar ist. Zuerst müssen wir `pcscd` starten
sudo systemctl restart pcscd
sudo systemctl enable pcscd.service
Letzte Zeile aktiviert den `pcscd` beim Systemstart.
Nun sollte die Smartcard auf dem System sichtbar sein. Das können wir mit `opensc-tool` bzw. `yubico-piv-tool` verifizieren:
opensc-tool -list-readers
# oder
yubico-piv-tool -a list-readers
Wird die Smartcard angezeigt, z. B. `Yubico Yubikey NEO OTP+U2F+CCID 00 00`, dann können wir den PKCS12 Keystore importieren:
yubico-piv-tool -s 9a -i ACNLB.p12 -K PKCS12 -a import-key -a import-cert
Ob der Import erfolgreich war, lässt sich mit folgendem Befehl verifizieren:
yubico-piv-tool -a status