Zertifikate erhalten

Der Sicherheitsmodus erfordert eine Reihe von Zertifikaten, die sowohl auf dem Endgerät als auch auf der Tastatur vorhanden sein müssen. Zunächst werden alle erforderlichen Zertifikate an das Endgerät übertragen. Dann installiert das Endgerät ein Benutzerzertifikat und den entsprechenden Schlüssel auf der Tastatur; optional wird auch das Root-CA-Zertifikat des Clients installiert. Diese Installation von Zertifikaten wird als Personalisierung bezeichnet.

Gerätezertifikate herunterladen

Laden Sie alle Zertifikate herunter von https://github.com/secureboard10/secureboard-ca:

Geräte-Root-CA-Zertifikat: SecureboardRootCA.pem
Geräte-Zwischen-CA-Zertifikate: p-20190712.pem, p-20191030 usw.

Erstellen der benutzerdefinierten Zertifikate

Gemäß "CHERRY SECUREBOARD 1.0, Software Developer's Guide", Kapitel 9.5, müssen alle Zertifikate und Schlüsselpaare, die an die Tastatur gesendet werden, die folgenden Anforderungen erfüllen:

X509 Version 3 unter Verwendung der ECDSA-über-NIST-Kurve prime256v1 mit entsprechenden Tasten
Größe: Maximal 572 Byte bzw. 475 Byte im DER-Format

Erstellen Sie die folgenden benutzerdefinierten Zertifikate:

Eine Beispielanleitung für OpenSSL finden Sie in "CHERRY SECUREBOARD 1.0, Software Developer's Guide", Kapitel 9.5; Siehe https://www.cherry.de/files/manual/SECUREBOARD_SwDev_Guide_en-0.4.pdf.

Außerdem enthält das SECURE BOARD 1.0 Quick Installation Package ein fertiges Skript, das Beispielzertifikate erzeugt. Laden Sie das Paket von https://www.cherry.de/files/software/Cherry_Secureboard_1.0_Quick_Installation_Package_V1.0.zip herunter, entzippen Sie die Datei und verwenden Sie Cherry Secureboard 1.0 cert-package V1.0/secureboard_linx/create_certs.sh (Linux) oder Cherry Secureboard 1.0 cert-package V1.0/secureboard_windows/create_certs.bat (Windows).

Zertifikat	Erforderlich/optional	Anforderungen	Kodierung/Endung	Max. Dateigröße*	Dateiname	Anmerkungen
Root-CA-Zertifikat des Benutzers	erforderlich	keine Angabe	PEM	keine Angabe	keine Angabe	Wenn dieses Zertifikat auch als Root-CA-Zertifikat des Benutzers für die wechselseitige Authentifizierung dienen soll, muss es die Anforderungen für an die Tastatur gesendete Zertifikate erfüllen: X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln; max. 475 Bytes
CA-Zwischenzertifikate	optional (je nach verwendeter Zertifikatskette)	keine Angabe	PEM	keine Angabe	keine Angabe
Benutzerzertifikat (Tastatur)	erforderlich	X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln	DER (binär)	572 Bytes	`user-cert.der`
Entsprechener Benutzerschlüssel (Tastatur)	erforderlich	X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln	PEM (ohne Passphrase)	keine Angabe	`user-key.pem`
Root-CA-Zertifikat des Clients (Tastatur)	optional; für wechselseitige Authentifizierung**	X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln	PEM	475 Bytes	keine Angabe	Kann mit dem Root-CA-Zertifikat des Benutzers identisch sein
Zertitifikat des Clients (Endgerät)	optional; für wechselseitige Authentifizierung**	X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln	PEM	475 Bytes	`client-cert.pem`
Schlüssel des Clients (Endgerät)	optional; für wechselseitige Authentifizierung**	X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln	PEM (ohne Passphrase)	keine Angabe	`client-key.pem`

* Der relevante Wert ist die Dateigröße, die das Zertifikat hat, wenn es im Binärformat gespeichert wird.

** Wenn diese Zertifikate installiert sind, kann die Tastatur überprüfen, ob das Endgerät authentisch ist. Ohne die optionalen Zertifikate wird nur die Überprüfung der Authentizität der Tastatur durch das Endgerät durchgeführt.

Bereitstellung der Personalisierungsmaschine

Die folgenden Anweisungen beschreiben, wie die erforderlichen Zertifikate auf die Personalisierungsmaschine übertragen werden. Der Personalisierungscomputer stellt die Zertifikate auf der Tastatur bereit. Zu diesem Zweck wird das UMS verwendet.

Zunächst wird für jedes Zertifikat oder jede Schlüsseldatei ein Dateiobjekt erstellt, damit die Dateien vom UMS verarbeitet werden können.

Zweitens werden die Dateiobjekte der Personalisierungsmaschine zugeordnet, was dazu führt, dass die Dateien auf diese Maschine übertragen werden.

Erstellen des Dateiobjekts für das Geräte-Root-CA-Zertifikat

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird die Datei SecureBoardRootCA.pem erzeugt.

Erstellen des Dateiobjekts für das Geräte-Zwischen-CA-Zertifikat

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird die Datei p-20190712.pem erzeugt.

Erstellen des Dateiobjekts für das Geräte-Client-CA-Zertifikat (optional)

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird das Dateiobjekt clientca-cert.pem erzeugt.

Erstellen des Dateiobjekts für das Benutzerzertifikat (Tastatur)

Um die Zertifikatsdatei user-cert.der in das Verzeichnis /wfs/cherry/client-certs/ auf der Personalisierungsmaschine zu übertragen, gehen Sie wie folgt vor:

Gehen Sie im UMS-Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird die Datei user-cert.der erzeugt.

Erstellen des Dateiobjekts für die Benutzertaste (Tastatur)

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird die Datei user-key.pem erzeugt.

Bereitstellen der Endgeräte für die Verwendung des SECURE BOARD

Die folgenden Anweisungen beschreiben, wie die erforderlichen Zertifikate an die Endgeräte übertragen werden, die im sicheren Modus mit dem SECURE BOARD verbunden werden.

Erstellen des Dateiobjekts für das Benutzer-Root-CA-Zertifikat

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.

In der UMS wird das Dateiobjekt erzeugt. Der Name des Dateiobjekts wird vom Dateinamen abgeleitet.

Erstellen des Dateiobjekts für das Client-Root-CA-Zertifikat (optional)

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
- Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
- Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
- Zugriffsrechte - Besitzer: Lesen, Schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird das Dateiobjekt erzeugt. Der Name des Dateiobjekts wird vom Dateinamen abgeleitet.

Dateiobjekt für das Client-Zertifikat erzeugen (optional)

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Bearbeiten Sie die Einstellungen im Dialog Neue Datei wie folgt:
- Lokale Datei: Lokaler Dateipfad von client-cert.pem. Verwenden Sie die Dateiauswahl, indem Sie klicken.
- Speicherort der Gerätedatei: /wfs/cherry/client-certs/
- Zugriffsrechte - Besitzer: Lesen, schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird eine Datei erzeugt. Der Name des Dateiobjekts wird aus dem Dateinamen abgeleitet.

Erstellen des Dateiobjekts für den Client-Schlüssel (Endgerät) (optional)

Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
Bearbeiten Sie die Einstellungen im Dialog Neue Datei wie folgt:
- Lokale Datei: Lokaler Dateipfad von client-cert.pem. Verwenden Sie die Dateiauswahl, indem Sie klicken.
- Speicherort der Gerätedatei: /wfs/cherry/client-certs/
- Zugriffsrechte - Besitzer: Lesen, schreiben
- Zugangsrechte - Andere: Lesen
- Besitzer: Root
Klicken Sie Ok.
In der UMS wird eine Datei erzeugt. Der Name des Dateiobjekts wird aus dem Dateinamen abgeleitet.

Download PDF