Comments on: Etoken unter Linux initialisieren http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren Perl and internet technology Fri, 09 Jul 2010 06:09:46 +0200 http://wordpress.org/?v=2.8.6 hourly 1 By: Tobi http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren/comment-page-1#comment-679 Tobi Thu, 09 Nov 2006 09:27:30 +0000 http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren#comment-679 Ach ja: auf der "Gegenseite" muss im Userverzeichniss unter ~/.ssh/authorized_keys der Schlüssel abgelegt werden, der mit ssh-keygen -D0 ausgelesen werden kann. Die Schlüsselkonvertierung geht folgendermassen: openssl pkcs12 -export -in infile.pem -out outfile.p12 Zertifikat konvertieren pem -> p12 (cert+private key): openssl pkcs12 -export -in imapd.pem -out testcert.p12 Private Key aus pkcs12 Zertifikat extrahieren: openssl pkcs12 -in smedia.p12 -nocerts -out smedia-key.pem User Zertifikat und CA extrahieren: openssl pkcs12 -in smedia.p12 -nokeys -out smedia-user-cert.pem Zertifikat (DER oder CRT Format) anschauen: openssl x509 -noout -text -in fb06.crt -inform der Zertifikat (DER oder CRT) nach PEM umwandeln: openssl x509 -out fb06.pem -outform pem -in fb06.crt -inform der Das "starten" der Tokenunterstützung geht so: [sudo] openct-control init openct-control status (sollte den Token anzeigen) eval `ssh-agent` ssh-add -s0 Ach ja: auf der “Gegenseite” muss im Userverzeichniss unter ~/.ssh/authorized_keys der Schlüssel abgelegt werden, der mit

ssh-keygen -D0

ausgelesen werden kann.

Die Schlüsselkonvertierung geht folgendermassen:

openssl pkcs12 -export -in infile.pem -out outfile.p12

Zertifikat konvertieren pem -> p12 (cert+private key):
openssl pkcs12 -export -in imapd.pem -out testcert.p12

Private Key aus pkcs12 Zertifikat extrahieren:
openssl pkcs12 -in smedia.p12 -nocerts -out smedia-key.pem

User Zertifikat und CA extrahieren:
openssl pkcs12 -in smedia.p12 -nokeys -out smedia-user-cert.pem

Zertifikat (DER oder CRT Format) anschauen:
openssl x509 -noout -text -in fb06.crt -inform der

Zertifikat (DER oder CRT) nach PEM umwandeln:
openssl x509 -out fb06.pem -outform pem -in fb06.crt -inform der

Das “starten” der Tokenunterstützung geht so:

[sudo] openct-control init
openct-control status (sollte den Token anzeigen)
eval `ssh-agent`
ssh-add -s0

]]> By: Tobi http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren/comment-page-1#comment-678 Tobi Thu, 09 Nov 2006 09:20:15 +0000 http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren#comment-678 Was noch fehlt: für openct gibt es eine eigene Benutzergruppe. Wenn man als Benutzer "openct-control status" nicht ausführen darf, muss man sich noch in der entsprechenden Gruppe eintragen. Der Gruppenname ist am Verz. /var/run/openct/ zu sehen. Der "Fehler" mit dem pcscd-Treiber für Openct ist hier beschrieben: http://www.opensc-project.org/faq.html Eine weitere Beschreibung für die eToken-Einrichtung gibt es hier: http://www.acodedb.com/73/how-to-use-an-aladdin-etoken-pro-with-opensc-openct-and-openssh-portable/ Was noch fehlt: für openct gibt es eine eigene Benutzergruppe. Wenn man als Benutzer “openct-control status” nicht ausführen darf, muss man sich noch in der entsprechenden Gruppe eintragen. Der Gruppenname ist am Verz. /var/run/openct/ zu sehen.

Der “Fehler” mit dem pcscd-Treiber für Openct ist hier beschrieben:
http://www.opensc-project.org/faq.html

Eine weitere Beschreibung für die eToken-Einrichtung gibt es hier:
http://www.acodedb.com/73/how-to-use-an-aladdin-etoken-pro-with-opensc-openct-and-openssh-portable/

]]> By: Tobi http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren/comment-page-1#comment-675 Tobi Wed, 08 Nov 2006 17:44:03 +0000 http://www.frankl.info/wordpress/know-how/linux/etoken-unter-linux-initialisieren#comment-675 Nur ein paar Anmwerkungen dazu: - Bei "Private Key importieren" fehlt noch die Option "--split-key" - Wenn die Angaben kopiert werden, muss jeweils der langen Strich durch zwei "-" ersetzt werden. Wird warscheinlich von Wordpress so "übersetzt". -Der pcscd Deamon muss gestoppt werden, damit es läuft -in der /etc/opensc/opensc.conf muss die Zeile reader_drivers = openct, pcsc, ctapi; ggf. durch reader_drivers = openct, ctapi; ersetzt werden -Vor den obigen Befehlen muss folgendes getan werden: sudo openct-control init sudo openct-control status (Hier sollte der Token aufgelistet werden) eval `ssh-agent` ssh-add -s0 (0 ggf durch den entsprechenden Slot ersetzen) Nur ein paar Anmwerkungen dazu:

- Bei “Private Key importieren” fehlt noch die Option “–split-key”

- Wenn die Angaben kopiert werden, muss jeweils der langen Strich durch zwei “-” ersetzt werden. Wird warscheinlich von Wordpress so “übersetzt”.

-Der pcscd Deamon muss gestoppt werden, damit es läuft

-in der /etc/opensc/opensc.conf muss die Zeile
reader_drivers = openct, pcsc, ctapi;
ggf. durch
reader_drivers = openct, ctapi;
ersetzt werden

-Vor den obigen Befehlen muss folgendes getan werden:
sudo openct-control init
sudo openct-control status (Hier sollte der Token aufgelistet werden)
eval `ssh-agent`
ssh-add -s0 (0 ggf durch den entsprechenden Slot ersetzen)

]]>