Dostęp do serwisu cybo.pl za pomocą YubiKey w systemie Windows

Z Baza Wiedzy cybo.pl
Operator nie ponosi odpowiedzialności za obszar kliencki (m.in. sprzęt, oprogramowanie i klucze prywatne użytkowników Abonenta). Publikowane przez Operatora informacje dotyczące obszaru klienckiego mają charakter pomocniczy a Abonent może korzystać z nich na własne ryzyko.
Poniższy opis powstał na podstawie testów praktycznych dostępu do serwisu cybo.pl za pomocą fabrycznie nowego urządzenia YubiKey 5 NFC (F/W 5.7.4), aplikacji Yubico Authenticator 7.2.0 i YubiKey Smart Card Minidriver x64 4.6.3.252 w systemie Microsoft Windows 11 64-bit PL. W przypadku innych wersji sposób konfiguracji może się różnić. Operator nie gwarantuje, że rozwiązanie takie będzie działać poprawnie w środowisku Abonenta (w szczególności z innymi wersjami oprogramowania lub sprzętu), stąd przed ewentualnym korzystaniem z niego wskazane jest przeprowadzenie samodzielnych testów zgodności przez Abonenta.

YubiKey to sprzętowe urządzenie firmy Yubico służące do autentykacji w oparciu o różne standardy. Niektóre z modeli YubiKey posiadają funkcję karty procesorowej (ang. smart card) co pozwala na wygenerowanie na nich klucza prywatnego, CSR, załadowanie do pamięci tego urządzenia otrzymanego certyfikatu i używanie takiego klucza sprzętowego do logowania w serwisie cybo.pl np. ze stacji roboczej Microsoft Windows 11.

Instalacja oprogramowania

W celu korzystania w systemie Microsoft Windows 11 z funkcji karty procesorowej urządzenia YubiKey 5 NFC, należy zainstalować następujące oprogramowanie:

Generowanie klucza prywatnego i CSR

Użytkownik z ID 439d w serwisie cybo.pl korzystającym z domeny certyfikatów demo.cybo.pl chcący otrzymać nowy certyfikat do tego serwisu, może przygotować CSR w następujący sposób:

  1. podłączyć YubiKey 5 NFC do portu USB komputera,
  2. uruchomić aplikację Yubico Authenticator i otworzyć w niej funkcję Certyfikaty > 9a Uwierzytelnianie > Generuj klucz,
  3. w polu Temat podać wartość CN=439d@demo.cybo.pl,
  4. na liście Format wyjściowy wybrać pozycję Żądanie podpisania certyfikatu (CSR),
  5. na liście rozwijalnej z algorytmami klucza wybrać RSA2048 (serwisy cybo.pl obsługują także algorytmy RSA3072 i RSA4096),
  6. wcisnąć przycisk Zapisz i zapisać wygenerowany CSR do pliku.

Instalacja certyfikatu

W celu zainstalowania w pamięci urządzenia YubiKey 5 NFC certyfikatu z pliku np. cert.crt, w systemie Microsoft Windows 11 należy:

  • uruchomić aplikację Yubico Authenticator i otworzyć w niej funkcję Certyfikaty > 9a Uwierzytelnianie > Importuj plik,
  • w oknie wskazać plik cert.crt i wcisnąć przycisk Otwórz,
  • w przypadku braku zastrzeżeń do wyświetlonych danych certyfikatu zaimportować go na urządzenie poprzez wciśnięcie przycisku Importuj.

Klucz YubiKey 5 NFC z tak zainstalowanym certyfikatem powinien po podłączeniu do gniazda USB umożliwiać logowanie się użytkownika do aplikacji serwisu cybo.pl za pomocą programów klienckich potrafiących korzystać z systemowych magazynów certyfikatów systemu Microsoft Windows; przykładami takich aplikacji są: Edge, Chrome, Firefox.

Odnawianie certyfikatu

Aplikacja Yubico Authenticator nie pozwala na umieszczenie na urządzeniu YubiKey 5 NFC więcej niż jednego certyfikatu w slocie 9a przeznaczonym do autentykacji. Właściciel dostępu może zastąpić dotychczasowy klucz prywatny i certyfikat poprzez wygenerowanie nowego klucza prywatnego i CSR (z potwierdzeniem nadpisania istniejącego klucza prywatnego) a następnie instalację nowego certyfikatu (z potwierdzeniem nadpisania istniejącego certyfikatu) ale wiązać się to będzie z brakiem możliwości korzystania z dotychczasowego certyfikatu przy logowaniu do serwisu cybo.pl w czasie oczekiwania na otrzymanie nowego certyfikatu.

Alternatywnie administrator serwisu cybo.pl generujący tam certyfikaty do tego serwisu może użyć funkcji Odnów na ekranie dotychczasowego certyfikatu w Adm i za jej pomocą wygenerować nowy certyfikat z poprzedniego CSR (nowy certyfikat będzie pasować do znajdującego się już na YubiKey 5 NFC klucza prywatnego). W celu zastąpienia na YubiKey 5 NFC dotychczasowego certyfikatu nowym (z pozostawieniem klucza prywatnego), należy wykonać instalację nowego certyfikatu.

Uwagi:

  • W przypadku jeśli po instalacji/zmianie certyfikatu na YubiKey 5 NFC system Microsoft Windows 11 nie zauważy tej zmiany, pomóc może restart systemu.
  • System Microsoft Windows zdaje się nie usuwać automatycznie swojej kopii certyfikatu użytkownika, zapisanej w magazynie systemowym, po usunięciu tego certyfikatu z YubiKey 5 NFC. W takiej sytuacji na liście wyboru certyfikatów w aplikacjach klienckich może pojawiać się nowy i stary certyfikat do wyboru a pomóc może ręczne usunięcie starego certyfikatu z magazynu certyfikatów w funkcji systemu Microsoft Windows Zarządzaj certyfikatami użytkowników > Certyfikaty bieżący użytkownik > Osobisty > Certyfikaty.


Zobacz też: