実験には Win10 を使用しています。yubihsm-shell と yubihsm-connector の間で HTTPS アクセスを作成したいと考えています。 公式のガイドラインはあまり詳細ではありませんが、しばらくすると、https://github.com/Yubico/yubihsm-shell/issues/5で関連情報を見つけました。
openssl を使用して、秘密鍵 (privkey.pem)、証明書署名要求 (csr.csr)、および証明書 (hsm_cert.pem) を作成しました。証明書は自己署名されています。
次の方法でyubihsmコネクタを開始しました:
yubihsm-connector.exe -d -l localhost:54321 --cert=hsm_cert.pem --key=privkey.pem
Web ブラウザーを開き、URL を入力します。
https://localhost:54321/connector/status
正しいメッセージが表示されます:
status=OK
serial=*
version=3.0.1
pid=12920
address=localhost
port=54321
次に、yubihsm-shell.exe --connector=https://localhost:54321 --cacert=hsm_cert.pem yubihsm> connect Failed setting HTTPS CA で yubishell を試しました。
YubiHSM シェルに与えた証明書は、コネクタを開始したのと同じ自己署名証明書です。
証明書署名要求は、次の構成ファイルで作成されました:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = v3_req
[ req_distinguished_name ]
countryName = #deleted-due-to-privacy
countryName_default = #deleted-due-to-privacy
countryName_min = 2
countryName_max = 2
localityName = #deleted-due-to-privacy
organizationalUnitName = #deleted-due-to-privacy
commonName = localhost
commonName_max = 64
emailAddress = #deleted-due-to-privacy
emailAddress_max = 40
[ v3_req ]
basicConstraints = CA:TRUE
keyUsage = digitalSignature, keyCertSign
証明書拡張ファイルは次のようになります。
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:TRUE
keyUsage = digitalSignature, nonRepudiation, keyCertSign, keyAgreement
私の質問:
- YubiHSM コネクタの X509 証明書はどのように作成すればよいですか?
- HTTPS 経由でコネクタに接続できるように、YubiHSM シェルに証明書を与えるにはどうすればよいですか?