Přeskočit obsah

YubiHSM 2

YubiHSM 2 je malý modul hardwarové bezpečnosti (HSM), který se vejde do USB portu.

Příprava YubiHSM 2

1) Připravte konfigurační soubor YubiHSM2

Konfigurační soubor yubihsm2_pkcs11.conf musí být umístěn v pracovním adresáři mikroservisu TeskaLabs SeaCat PKI.

.../yubihsm2_pkcs11.conf:

connector = http://yubihsm:12345

yubihsm je hostitel, který spouští software YubiHSM2. YubiHSM 2 funguje tak, že hostitel s USB spouští server YubiHSM2, který poskytuje HTTPS API na portu 12345.

2) Konfigurujte SeaCat PKI pro použití tokenu YubiHSM 2

seacatpki.conf:

[seacatpki:pkcs11:yubihsm2]
path=.../yubihsm_pkcs11.dylib
tokens=YubiHSM,0001password,mytenant
  • path je umístění knihovny YubiHSM2 PKCS11 (yubihsm_pkcs11.dylib nebo yubihsm_pkcs11.so).
  • tokens je konfigurace instance YubiHSM2:
    • YubiHSM je název tokenu
    • 0001password je PIN (změňte ho na svůj vlastní)
    • mytenant je nájemce, který má přístup k tokenu YubiHSM 2

Warning

YubiHSM2 nabízí jediný token s názvem "YubiHSM".

3) Restartujte mikroservis SeaCat PKI

Generátor náhodných čísel

YubiHSM 2 může být použit jako generátor náhodných čísel (RNG) v TeskaLabs SeaCat PKI.

secatpki.conf:

[seacatpki:random]
provider=pkcs11:yubihsm2
token_label=YubiHSM

YubiKey

Token YubiKey může být také použit jako "chudý" hardwarový bezpečnostní modul (HSM) v TeskaLabs SeaCat PKI.

secatpki.conf:

[seacatpki:pkcs11:yubikey]
path=/usr/local/lib/libykcs11.dylib
tokens=
    YubiKey PIV #xxxxxx,<PIN>,mytenant
session_persistence=false

Danger

session_persistence musí být nastaven na false pro token YubiKey.