Wer ein SSH Zertifikat benutzt um sich auf seinen Linux Servern anzumelden und ebenfalls einen YubiKey besitzt kann diesen Key dort speichern (maximal RSA2048, 4096 funktioniert nur in Verbindung mit einem GPG Key [wird ein weiterer Post]).
Wer gerne Pagent nutzt, hier gibt es eine angepasste Version welche CAPI unterstützt und somit den Yubikey direkt ansprechen kann. Es geht also keinerlei Komfort verloren:
https://github.com/NoMoreFood/putty-cac/raw/0.73/binaries/x64/pageant.exe
Wenn am Ende der Key auf dem YubiKey ist und in Pagent geladen wurde kommt beim ersten Connect lediglich noch eine PIN Abfrage vom YubiKey und schon steht die Verbindung.
Gebraucht wird eine Linux Shell, das Yubico Piv-Tool und der Yubico Manager:
https://developers.yubico.com/yubico-piv-tool/Releases/
https://www.yubico.com/products/services-software/download/yubikey-manager/
Hier nun eine kurze Erklärung wie ein Key passend für den Yubi erstellt und importiert wird:
- Private und Public Key erstellen:
ssh-keygen -m PEM -t rsa -b 2048 -o -a 100 -C YubiKey-18102019 -f YubiKey
Kleine Anmerkung, Ihr könnt den Key ruhig mit einem Passwort sichern. Dieses wird nur beim Import in den Yubi abgefragt, danach wird nur noch die PIN des Yubi abgefragt. Sollte der Key aber auf einem Server oder so gesichert sein ist ein Passwort immer gut. - Datei umbennen:
mv YubiKey YubiKey.key - Public Key umwandeln in kompatibles Format für das Piv-Tool:
ssh-keygen -e -f ./YubiKey.pub -m PKCS8 > YubiKey.pub.pkcs8 - Private Key (YubiKey.key) jetzt in Slot 9a importieren mit dem YubiKey Manager.
- Jetzt mit dem piv-tool ein Zertifikat erstellen für den Key:
yubico-piv-tool -a verify-pin -a selfsign-certificate -s 9a -S "/CN=YubiKey-18102019/" --valid-days=3650 -i d:\YubiKey.pub.pkcs8 -o d:\YubiKey.crt - Das Zertifikat (crt) nun ebenfalls importieren
- Aufheben als Backup und zum import in einen weiteren YubiKey:
YubiKey.key YubiKey.crt - Aufheben, muss auf den Servern installiert werden:
YubiKey.pub - Kann weg:
YubiKey.pub.pkcs8