16 281
правка
CryptodevATECCx08 Auth: различия между версиями
Нет описания правки
(Отметить эту версию для перевода) |
|||
| (не показаны 3 промежуточные версии 3 участников) | |||
| Строка 59: | Строка 59: | ||
<!--T:17--> | <!--T:17--> | ||
Далее на конроллере WB создаем запрос на сертификат устройства: | Далее на конроллере WB создаем запрос на сертификат устройства: | ||
<!--T:18--> | <!--T:18--> | ||
Для Wiren Board 7: | |||
<pre>openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:02:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr</pre> | |||
Для Wiren Board 6: | |||
<pre>openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:04:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr</pre> | <pre>openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:04:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr</pre> | ||
<!--T:19--> | <!--T:19--> | ||
В этой команде мы указываем, что запрос подписывается приватным ключом, находящимся в криптоустройстве ateccx08 ключом | В этой команде мы указываем, что запрос подписывается приватным ключом, находящимся в криптоустройстве ateccx08 ключом | ||
с идентификатором '''ATECCx08:00: | с идентификатором '''ATECCx08:00:02:C0:00''' и публичным именем wirenboard-AP6V5MDG. Запрос помещаем в файл device_AP6V5MDG.csr. | ||
<!--T:20--> | <!--T:20--> | ||
| Строка 230: | Строка 237: | ||
''' | ''' | ||
== Проверка сертификатов на сервере с помощью nginx . == <!--T:36--> | |||
== | |||
<!--T:37--> | <!--T:37--> | ||
| Строка 260: | Строка 266: | ||
</html> | </html> | ||
</pre> | </pre> | ||
Nginx в такой конфигурации удобно использовать на сервере перед реальным сервисом, которые не поддерживают проверку клиентских сертификатов. Для этого нужно настроить proxy_pass на сам сервис и, например, добавить в заголовки серийный номер контроллера через переменную <code>$ssl_client_s_dn</code> или весь клиентский сертификат целиком. | |||
== Добавление поддержки клиентских сертификатов к произвольным сервисам на контроллере == | |||
Часто программы на контролелере не поддерживают TLS совсем, либо не поддерживают указание клиентских сертификатов, либо не поддерживают работу с openssl engine. | |||
Можно отправить обращения от таких программ к серверу сквозь локальный прокси, который будет оборачивать трафик в TLS с использованием аппаратных ключей. | |||
Вместе с рецептом из предыдущего пункта, это позволяет реализовать аутентификацию по аппаратному ключу практически для любого клиент-серверного ПО. | |||
<!--T:41--> | <!--T:41--> | ||
| Строка 625: | Строка 640: | ||
mosquitto_sub -h example.com --cert device_AP6V5MDG.crt --key 'engine:ateccx08:ATECCx08:00:04:C0:00' -t "test" --cafile ca.crt | mosquitto_sub -h example.com --cert device_AP6V5MDG.crt --key 'engine:ateccx08:ATECCx08:00:04:C0:00' -t "test" --cafile ca.crt | ||
</pre> | </pre> | ||
== Полезные ссылки == | |||
[https://habr.com/ru/companies/oleg-bunin/articles/476304/ Аутентификация устройств на Linux по аппаратному ключу в системах верхнего уровня] | |||
</translate> | </translate> | ||