Der Sicherheitsmodus erfordert eine Reihe von Zertifikaten, die sowohl auf dem Endgerät als auch auf der Tastatur vorhanden sein müssen. Zunächst werden alle erforderlichen Zertifikate an das Endgerät übertragen. Dann installiert das Endgerät ein Benutzerzertifikat und den entsprechenden Schlüssel auf der Tastatur; optional wird auch das Root-CA-Zertifikat des Clients installiert. Diese Installation von Zertifikaten wird als Personalisierung bezeichnet.

Gerätezertifikate herunterladen

Laden Sie alle Zertifikate herunter von https://github.com/secureboard10/secureboard-ca:

  • Geräte-Root-CA-Zertifikat: SecureboardRootCA.pem 
  • Geräte-Zwischen-CA-Zertifikate: p-20190712.pemp-20191030 usw.

Erstellen der benutzerdefinierten Zertifikate

Gemäß "CHERRY SECUREBOARD 1.0, Software Developer's Guide", Kapitel 9.5, müssen alle Zertifikate und Schlüsselpaare, die an die Tastatur gesendet werden, die folgenden Anforderungen erfüllen:

  • X509 Version 3 unter Verwendung der ECDSA-über-NIST-Kurve prime256v1 mit entsprechenden Tasten
  • Größe: Maximal 572 Byte bzw. 475 Byte im DER-Format

 Erstellen Sie die folgenden benutzerdefinierten Zertifikate:

Eine Beispielanleitung für OpenSSL finden Sie in "CHERRY SECUREBOARD 1.0, Software Developer's Guide", Kapitel 9.5; Siehe https://www.cherry.de/files/manual/SECUREBOARD_SwDev_Guide_en-0.4.pdf.

Außerdem enthält das SECURE BOARD 1.0 Quick Installation Package ein fertiges Skript, das Beispielzertifikate erzeugt. Laden Sie das Paket von https://www.cherry.de/files/software/Cherry_Secureboard_1.0_Quick_Installation_Package_V1.0.zip herunter, entzippen Sie die Datei und verwenden Sie Cherry Secureboard 1.0 cert-package V1.0/secureboard_linx/create_certs.sh (Linux) oder Cherry Secureboard 1.0 cert-package V1.0/secureboard_windows/create_certs.bat (Windows).

ZertifikatErforderlich/optionalAnforderungenKodierung/Endung Max. Dateigröße*DateinameAnmerkungen

Root-CA-Zertifikat des Benutzers

erforderlichkeine AngabePEMkeine Angabekeine Angabe

Wenn dieses Zertifikat auch als Root-CA-Zertifikat des Benutzers für die wechselseitige Authentifizierung dienen soll, muss es die Anforderungen für an die Tastatur gesendete Zertifikate erfüllen: X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln; max. 475 Bytes

CA-Zwischenzertifikateoptional (je nach verwendeter Zertifikatskette)keine AngabePEMkeine Angabekeine Angabe
Benutzerzertifikat (Tastatur)erforderlich

X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln

DER (binär)572 Bytesuser-cert.der
Entsprechener Benutzerschlüssel (Tastatur)erforderlich

X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln

PEM (ohne Passphrase)keine Angabeuser-key.pem

Root-CA-Zertifikat des Clients (Tastatur)

optional; für wechselseitige Authentifizierung**

X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen Schlüsseln

PEM475 Byteskeine Angabe

Kann mit dem Root-CA-Zertifikat des Benutzers identisch sein

Zertitifikat des Clients (Endgerät)optional; für wechselseitige Authentifizierung**X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen SchlüsselnPEM475 Bytesclient-cert.pem
Schlüssel des Clients (Endgerät)optional; für wechselseitige Authentifizierung**X509 Version 3 unter Verwendung von ECDSA über die NIST-Kurve prime256v1 mit dazugehörigen SchlüsselnPEM (ohne Passphrase)keine Angabeclient-key.pem

* Der relevante Wert ist die Dateigröße, die das Zertifikat hat, wenn es im Binärformat gespeichert wird.

** Wenn diese Zertifikate installiert sind, kann die Tastatur überprüfen, ob das Endgerät authentisch ist. Ohne die optionalen Zertifikate wird nur die Überprüfung der Authentizität der Tastatur durch das Endgerät durchgeführt.

Bereitstellung der Personalisierungsmaschine

Die folgenden Anweisungen beschreiben, wie die erforderlichen Zertifikate auf die Personalisierungsmaschine übertragen werden. Der Personalisierungscomputer stellt die Zertifikate auf der Tastatur bereit. Zu diesem Zweck wird das UMS verwendet.

Zunächst wird für jedes Zertifikat oder jede Schlüsseldatei ein Dateiobjekt erstellt, damit die Dateien vom UMS verarbeitet werden können.

Zweitens werden die Dateiobjekte der Personalisierungsmaschine zugeordnet, was dazu führt, dass die Dateien auf diese Maschine übertragen werden.

Erstellen des Dateiobjekts für das Geräte-Root-CA-Zertifikat

  • Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  • Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root
  • Klicken Sie Ok.
    In der UMS wird die Datei SecureBoardRootCA.pem erzeugt.

Erstellen des Dateiobjekts für das Geräte-Zwischen-CA-Zertifikat

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei: /wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root
  3. Klicken Sie Ok.
    In der UMS wird die Datei p-20190712.pem erzeugt.

Erstellen des Dateiobjekts für das Geräte-Client-CA-Zertifikat (optional)

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei/wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root
  3. Klicken Sie Ok.
    In der UMS wird das Dateiobjekt clientca-cert.pem erzeugt.

Erstellen des Dateiobjekts für das Benutzerzertifikat (Tastatur)

Um die Zertifikatsdatei user-cert.der in das Verzeichnis /wfs/cherry/client-certs/ auf der Personalisierungsmaschine zu übertragen, gehen Sie wie folgt vor:

  1. Gehen Sie im UMS-Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei/wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root
  3. Klicken Sie Ok.
    In der UMS wird die Datei user-cert.der erzeugt.

Erstellen des Dateiobjekts für die Benutzertaste (Tastatur)

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei/wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root
  3. Klicken Sie Ok.
    In der UMS wird die Datei user-key.pem erzeugt.

Bereitstellen der Endgeräte für die Verwendung des SECURE BOARD

Die folgenden Anweisungen beschreiben, wie die erforderlichen Zertifikate an die Endgeräte übertragen werden, die im sicheren Modus mit dem SECURE BOARD verbunden werden.

Erstellen des Dateiobjekts für das Benutzer-Root-CA-Zertifikat

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei/wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root
  3. Klicken Sie Ok.

In der UMS wird das Dateiobjekt erzeugt. Der Name des Dateiobjekts wird vom Dateinamen abgeleitet.

Erstellen des Dateiobjekts für das Client-Root-CA-Zertifikat (optional)

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Konfigurieren Sie im Dialogfeld Neue Datei die Einstellungen wie folgt:
    • Lokale Datei: Lokaler Dateipfad von SecureboardRootCA.pem. Verwenden Sie die Dateiauswahl durch Klicken auf .
    • Speicherort der Gerätedatei/wfs/cherry/ca-certs/
    • Zugriffsrechte - Besitzer: Lesen, Schreiben
    • Zugangsrechte - Andere: Lesen 
    • Besitzer: Root

  3. Klicken Sie Ok.
    In der UMS wird das Dateiobjekt erzeugt. Der Name des Dateiobjekts wird vom Dateinamen abgeleitet.

Dateiobjekt für das Client-Zertifikat erzeugen (optional)

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Bearbeiten Sie die Einstellungen im Dialog Neue Datei wie folgt:
    • Lokale Datei: Lokaler Dateipfad von client-cert.pem. Verwenden Sie die Dateiauswahl, indem Sie  klicken.
    • Speicherort der Gerätedatei/wfs/cherry/client-certs/
    • Zugriffsrechte - Besitzer: Lesen, schreiben
    • Zugangsrechte - Andere: Lesen
    • Besitzer: Root

  3. Klicken Sie Ok.
    In der UMS wird eine Datei erzeugt. Der Name des Dateiobjekts wird aus dem Dateinamen abgeleitet.

Erstellen des Dateiobjekts für den Client-Schlüssel (Endgerät) (optional)

  1. Gehen Sie im UMS Strukturbaum zu Dateien und wählen Sie im Kontextmenü Neue Datei.
  2. Bearbeiten Sie die Einstellungen im Dialog Neue Datei wie folgt:
    • Lokale Datei: Lokaler Dateipfad von client-cert.pem. Verwenden Sie die Dateiauswahl, indem Sie  klicken.
    • Speicherort der Gerätedatei/wfs/cherry/client-certs/
    • Zugriffsrechte - Besitzer: Lesen, schreiben
    • Zugangsrechte - Andere: Lesen
    • Besitzer: Root
  3. Klicken Sie Ok.
    In der UMS wird eine Datei erzeugt. Der Name des Dateiobjekts wird aus dem Dateinamen abgeleitet.