Dostęp do serwisu cybo.pl za pomocą YubiKey w systemie Windows
YubiKey to sprzętowe urządzenie firmy Yubico służące do autentykacji w oparciu o różne standardy. Niektóre z modeli YubiKey posiadają funkcję karty procesorowej (ang. smart card) co pozwala na wygenerowanie na nich klucza prywatnego, CSR, załadowanie do pamięci tego urządzenia otrzymanego certyfikatu i używanie takiego klucza sprzętowego do logowania w serwisie cybo.pl np. ze stacji roboczej Microsoft Windows 11.
Instalacja oprogramowania
W celu korzystania w systemie Microsoft Windows 11 z funkcji karty procesorowej urządzenia YubiKey 5 NFC, należy zainstalować następujące oprogramowanie:
Generowanie klucza prywatnego i CSR
Użytkownik z ID 439d
w serwisie cybo.pl korzystającym z domeny certyfikatów demo.cybo.pl
chcący otrzymać nowy certyfikat do tego serwisu, może przygotować CSR w następujący sposób:
- podłączyć YubiKey 5 NFC do portu USB komputera,
- uruchomić aplikację Yubico Authenticator i otworzyć w niej funkcję Certyfikaty > 9a Uwierzytelnianie > Generuj klucz,
- w polu Temat podać wartość
CN=439d@demo.cybo.pl
, - na liście Format wyjściowy wybrać pozycję
Żądanie podpisania certyfikatu (CSR)
, - na liście rozwijalnej z algorytmami klucza wybrać
RSA2048
(serwisy cybo.pl obsługują także algorytmyRSA3072
iRSA4096
), - wcisnąć przycisk Zapisz i zapisać wygenerowany CSR do pliku.
Instalacja certyfikatu
W celu zainstalowania w pamięci urządzenia YubiKey 5 NFC certyfikatu z pliku np. cert.crt
, w systemie Microsoft Windows 11 należy:
- uruchomić aplikację Yubico Authenticator i otworzyć w niej funkcję Certyfikaty > 9a Uwierzytelnianie > Importuj plik,
- w oknie wskazać plik
cert.crt
i wcisnąć przycisk Otwórz, - w przypadku braku zastrzeżeń do wyświetlonych danych certyfikatu zaimportować go na urządzenie poprzez wciśnięcie przycisku Importuj.
Klucz YubiKey 5 NFC z tak zainstalowanym certyfikatem powinien po podłączeniu do gniazda USB umożliwiać logowanie się użytkownika do aplikacji serwisu cybo.pl za pomocą programów klienckich potrafiących korzystać z systemowych magazynów certyfikatów systemu Microsoft Windows; przykładami takich aplikacji są: Edge, Chrome, Firefox.
Odnawianie certyfikatu
Aplikacja Yubico Authenticator nie pozwala na umieszczenie na urządzeniu YubiKey 5 NFC więcej niż jednego certyfikatu w slocie 9a
przeznaczonym do autentykacji.
Właściciel dostępu może zastąpić dotychczasowy klucz prywatny i certyfikat poprzez wygenerowanie nowego klucza prywatnego i CSR (z potwierdzeniem nadpisania istniejącego klucza prywatnego) a następnie instalację nowego certyfikatu (z potwierdzeniem nadpisania istniejącego certyfikatu) ale wiązać się to będzie z brakiem możliwości korzystania z dotychczasowego certyfikatu przy logowaniu do serwisu cybo.pl w czasie oczekiwania na otrzymanie nowego certyfikatu.
Alternatywnie administrator serwisu cybo.pl generujący tam certyfikaty do tego serwisu może użyć funkcji Odnów na ekranie dotychczasowego certyfikatu w Adm i za jej pomocą wygenerować nowy certyfikat z poprzedniego CSR (nowy certyfikat będzie pasować do znajdującego się już na YubiKey 5 NFC klucza prywatnego). W celu zastąpienia na YubiKey 5 NFC dotychczasowego certyfikatu nowym (z pozostawieniem klucza prywatnego), należy wykonać instalację nowego certyfikatu.
Uwagi:
- W przypadku jeśli po instalacji/zmianie certyfikatu na YubiKey 5 NFC system Microsoft Windows 11 nie zauważy tej zmiany, pomóc może restart systemu.
- System Microsoft Windows zdaje się nie usuwać automatycznie swojej kopii certyfikatu użytkownika, zapisanej w magazynie systemowym, po usunięciu tego certyfikatu z YubiKey 5 NFC. W takiej sytuacji na liście wyboru certyfikatów w aplikacjach klienckich może pojawiać się nowy i stary certyfikat do wyboru a pomóc może ręczne usunięcie starego certyfikatu z magazynu certyfikatów w funkcji systemu Microsoft Windows Zarządzaj certyfikatami użytkowników > Certyfikaty bieżący użytkownik > Osobisty > Certyfikaty.
Zobacz też: