Pin requerido para acceder a la ranura de autenticación de tarjeta (tarjeta inteligente)

9

Así que déjame poner el escenario:

He creado un Certificado de firma intermedia a través del tutorial de Yubico: enlace

Hice un par de cambios, en lugar de la ranura de firma digital, utilicé la ranura de autenticación de tarjeta. El motivo es que, según la especificación y la documentación de Yubikey, aparece:

  

Este certificado y su clave privada asociada se utilizan para admitir   aplicaciones de acceso físico adicionales, tales como proporcionar   Acceso a edificios a través de cerraduras de puertas habilitadas para PIV. El PIN del usuario final es   NO es necesario realizar operaciones de clave privada para esta ranura.

Así que parece genial, sin embargo, para interactuar con esta ranura, mi configuración de openssl / pkcs11 requiere un PIN de todos modos. Simplemente podría incluir el PIN en cualquier interacción con scripts con la CA, pero esto no parece correcto.

¿Alguien ha experimentado esto y ha trabajado alrededor de esto?

    
pregunta Ori 28.11.2016 - 07:33
fuente

1 respuesta

0

El único propósito de una CA es emitir firmas digitales, específicamente para firmar las claves públicas de los certificados subordinados; Elegir una función clave que no sea la "firma digital" es contrario a este propósito.

¿No debería tener el certificado CA en la ranura de firma digital y luego un certificado subordinado (en el que confía el dispositivo EAPOL) en la ranura de autenticación de tarjeta?

    
respondido por el CGretski 25.11.2017 - 01:12
fuente

Lea otras preguntas en las etiquetas