Uso de YubiKeys con EJBCA

La mayoría de las instalaciones seguras contendrán claves de inicio de sesión de administrador en un token externo en lugar de almacenarlas como almacenes de claves programables en la máquina local.

A continuación se describe cómo instalar y usar YubiKey de Yubico. Para más información sobre Yubico, visite www.yubico.com .

Prerrequisitos

Para comenzar, necesita tener lo siguiente instalado en su estación de trabajo:


Sigue los pasos a continuación para empezar a usar tu YubiKey con EJBCA. Las instrucciones utilizan Firefox y YubiKey Manager en macOS.

Paso 1: Crear un par de claves en YubiKey

Para crear un par de claves en su YubiKey en macOS, haga lo siguiente:

  1. Inicie el Administrador YubiKey.
    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_09.46.58.png

  2. Seleccione Aplicaciones > PIV y haga clic en Configurar certificados .

  3. En la pestaña Autenticación , haga clic en Generar para crear un nuevo par de claves en el token.

  4. Seleccione Solicitud de firma de certificado (CSR) y haga clic en Siguiente.
    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_09.52.49.png

  5. Complete el asistente especificando un algoritmo de clave, un tamaño de clave y configurando el nombre común para su token.

  6. Por último, haga clic en Generar para recuperar un CSR que puede usar para inscribir el par de claves en EJBCA.

Paso 2: Inscriba la YubiKey en EJBCA

Tenga en cuenta que los requisitos previos para inscribir YubiKey en EJBCA son que EJBCA esté configurado con los perfiles adecuados para emitir certificados de cliente y que usted tenga un certificado de autenticación para iniciar sesión en EJBCA como administrador de RA para emitir certificados.

Para inscribir el par de claves recién creado mediante la interfaz de usuario de EJBCA RA, haga lo siguiente:

  1. En EJBCA, haga clic en RA Web para ir a la interfaz de usuario de RA de EJBCA .

  2. Haga clic en Inscribirse , seleccione el tipo y subtipo de certificado apropiado y luego haga clic en Generado por usuario para cargar su CSR generado en el paso 1.
    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_13.44.42.png

  3. Especifique cualquier información relevante y haga clic en Descargar PEM para guardar el archivo.

Paso 3: Importar certificado a YubiKey

Para importar el certificado a YubiKey en macOS, haga lo siguiente

  1. Abra el Administrador de YubiKey , seleccione Aplicaciones > PIV y haga clic en Configurar certificados .

  2. Haga clic en Importar y seleccione el nuevo certificado recién generado.

    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_15.03.25.png

  3. Los detalles del certificado se muestran en la pestaña Autenticación y YubiKey ahora está activo y funcionando.

Paso 4: Configurar Firefox para usar YubiKey

(ver notas a continuación para configurar Chromium)

Para configurar Firefox para usar YubiKey, haga lo siguiente:

  1. Abra Firefox e ingrese about:preferences en la barra de direcciones.

  2. Haga clic en Privacidad y seguridad y luego en Dispositivos de seguridad.

  3. Haga clic en Cargar para instalar el controlador PKCS#11 de OpenSC.

    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_15.11.58.png

  4. Cambie el nombre del módulo y haga clic en Explorar para localizar la biblioteca opensc-pkcs11.so (o similar).

    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_14.07.02.png

  5. Verifique que YubiKey se muestre como un nuevo módulo de seguridad y haga clic en Aceptar para cerrar el Administrador de dispositivos.

    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_14.07.15.png

Paso 5: Configurar los derechos de acceso en EJBCA

Para configurar los derechos de acceso en EJBCA mediante roles , haga lo siguiente:

  1. En la interfaz de usuario de CA EJBCA, haga clic en Roles y cree un nuevo rol o agregue el nuevo administrador a un rol existente.

    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_15.21.26.png

  2. Para agregar el administrador a un rol existente, haga clic en Miembros , seleccione la CA adecuada e ingrese la información que identifique el certificado, preferiblemente el número de serie.

    imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_15.30.49.png

    1. Para encontrar el número de serie, vea el certificado en OpenSSL usando el siguiente comando:

      $ openssl x509 - in alanwidget.pem -text -noout

      El número de serie se puede copiar, convertir de hexadecimal a decimal mediante un convertidor y luego usar en EJBCA.

  3. Por último, haga clic en Reglas de acceso y configure las reglas necesarias para su administrador.

La próxima vez que inicie una nueva sesión, su YubiKey se ofrecerá como una opción para identificación:
imágenes/descargar/archivos adjuntos/93588647/Captura de pantalla_2019-06-25_a_14.08.24.png

Notas adicionales

Configuración de OpenSC PKCS#11 en Chrome

Para agregar el módulo OpenSC PKCS#11 a Chrome o Chromium:

  1. Apaga Chrome.

  2. Asegúrese de que libnss-tools esté instalado. Por ejemplo, en Ubuntu:

    sudo apt install libnss3-tools

  3. Instalar OpenSC como módulo en NSS:

    modutil -dbdir sql:$HOME/.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so

  4. Compruebe que el módulo se instaló:

    modutil -dbdir sql:$HOME/.pki/nssdb/ -list

  5. Abra la interfaz de administración de EJBCA en Chrome e ingrese su PIN cuando se le solicite.

    imágenes/descargar/archivos adjuntos/93588647/chrome-piv-login.png


    imágenes/descargar/miniaturas/93588647/chrome-piv-login1.png