Разъем Yubico YubiHSM2 с доступом HTTPS
Для экспериментов использую Win10. Я хочу создать HTTPS-доступ между yubihsm-shell и yubihsm-connector. Официальные инструкции не очень подробны, но через некоторое время я нашел соответствующую информацию в https://github.com/Yubico/yubihsm-shell/issues/5.
Я использовал openssl и создал закрытый ключ (privkey.pem), запрос на подпись сертификата (csr.csr) и сертификат (hsm_cert.pem). Сертификат самоподписанный.
Я запустил коннектор юбихсм через:
yubihsm-connector.exe -d -l localhost:54321 --cert=hsm_cert.pem --key=privkey.pem
Я открываю свой веб-браузер и набираю URL:
https://localhost:54321/connector/status
Я получаю правильное сообщение:
status=OK
serial=*
version=3.0.1
pid=12920
address=localhost
port=54321
Затем я попробовал yubishell следующим образом:yubihsm-shell.exe --connector = https: // localhost:54321 --cacert =hsm_cert.pem yubihsm> connectFailed setting HTTPS CA
Сертификат, который я дал оболочке YubiHSM, - это тот же самозаверяющий сертификат, с которым я запускал коннектор.
Запрос на подпись сертификата был создан со следующим файлом конфигурации:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = v3_req
[ req_distinguished_name ]
countryName = #deleted-due-to-privacy
countryName_default = #deleted-due-to-privacy
countryName_min = 2
countryName_max = 2
localityName = #deleted-due-to-privacy
organizationalUnitName = #deleted-due-to-privacy
commonName = localhost
commonName_max = 64
emailAddress = #deleted-due-to-privacy
emailAddress_max = 40
[ v3_req ]
basicConstraints = CA:TRUE
keyUsage = digitalSignature, keyCertSign
файл расширения сертификата выглядит так:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:TRUE
keyUsage = digitalSignature, nonRepudiation, keyCertSign, keyAgreement
Мои вопросы:
- Как создать сертификат X509 для коннектора YubiHSM?
- Как передать сертификат оболочке YubiHSM, чтобы она могла подключаться к разъему через HTTPS?