Настройка на TLS с Apache2

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

inactive

inactive

active

inactive

inactive

inactive

inactive

inactive

Hint

Същата концепция, както е описана тук, може да се използва за много приложения, използващи openssl като крипто-бекенд. Концепцията се свежда най-вече до следното: заместване на (секретен) ключов файл с PKCS#11 URL, който се позовава на ключ на защитен ключ (Nitrokey).

Подготовка

  • Уверете се, че версията на apache2 е поне 2.4.42 за правилна mod_ssl поддръжка

  • активиране на mod_ssl с помощта на a2enmod ssl, ако вече не е направено

  • Освен това е необходимо openssl и libengine-pkcs11-openssl виж PKCS#11 URL

Конфигуриране на Apache2 за използване на ключ за сигурност

По принцип единственото, което трябва да направите, е да замените SSLCertificateFile с правилния PKCS#11 URL адрес и да изтриете всички други препратки към ключове или сертификати. Например, SSLCertificateKeyFile вече не е необходимо.

Една примерна директива може да изглежда по следния начин:

SSLCertificateFile   "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29;id%01"

Правилният PKCS#11 URL адрес може да бъде извлечен, както е документирано в PKCS#11 URL Generation

Не забравяйте да поставите директивата в конфигурация VirtualHost.

Предоставяне на ПИН код по време на стартирането на Apache2

При използване на описания по-рано метод Apache2 ще пита при всяко стартиране за User-PIN, като по този начин по същество се отказва от пакетното стартиране. Apache2 предоставя друга директива за предоставяне на ПИН по време на стартиране.

SSLPassPhraseDialog     "|/bin/echo 123456"

Apache2 очаква изпълним файл след |, който ще бъде изпълнен по време на стартиране и изходът му (очаква се завършващ нов ред) ще бъде използван като PIN. Очевидно е, че чрез този подход могат да се прилагат произволни сложни методи за извличане на ПИН. Въпреки че тук е избран тривиален пример, който просто echo ПИН по време на стартиране.

Освен това SSLPassPhraseDialog е глобална директива, затова трябва да бъде поставена в глобалния обхват на конфигурацията в Apache2.

Warning

Показаният пример не е сигурен механизъм за предаване на вашия ПИН код, тъй като той ще бъде записан в обикновен текст в конфигурацията ви.

Вижте Документацията на Apache2 mod_ssl за повече подробности относно тази функция.

Пълен пример за конфигурация на Apache2

Пълен фрагмент от конфигурацията на Apache2 (VirtualHost) може да изглежда така:

<IfModule mod_ssl.c>
  SSLPassPhraseDialog     "|/bin/echo 123456"
  <VirtualHost _default_:443>
     ServerAdmin webmaster@localhost

     DocumentRoot /var/www/html

     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined

     SSLEngine on

     SSLCertificateFile      "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0105076;token=UserPIN%20%28SmartCard-HSM%29"

     #SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

     <FilesMatch "\.(cgi|shtml|phtml|php)$">
                     SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
                     SSLOptions +StdEnvVars
     </Directory>

  </VirtualHost>
</IfModule>