YubiHSM2 levereras med en inbyggd attesteringsnyckel och ett certifikat som är inbäddat i dess firmware. Detta säkerhetslager gör det möjligt att verifiera enhetens äkthet och säkerställer att hårdvaran är en äkta YubiHSM2 tillverkad av Yubico. På så sätt förhindras användning av förfalskade eller manipulerade enheter.
Attesteringscertifikatet finns tillgängligt i fack 0 och kan exporteras för validering av certifikatskedjan till Yubicos Root Certifikat utanför enheten.
Exportera attesteringscertifikatet
Använd kommandot get opaque för att exportera ut certifikatet:
yubihsm>set outformat PEM yubihsm>get opaque 0 0 YubiHSM_attestation_certificate.pem
Validera certifikatet med Yubicos rotcertifikat
Yubicos rotcertifikat samt mellanliggande CA-certifikat kan laddas ner från vår webbplats via länkarna i avsnittet Pre-Loaded Certificates i YubiHSM-dokumentationen.
Verktyget OpenSSL kan förslagsvis användas för att validera certifikatkedjan enligt instruktionerna nedanför.
Steg 1: Sammanställ CA certifikaten
$ cat <Yubico_Root_CA.pem> <Yubico_intermediära_CA.pem> > <Kombinerad_CA_kedja.pem>
Exempel:
$ cat yubihsm2-attest-ca-crt.pem E45DA5F361B091B30D8F2C6FA040DB6FEF57918E.pem > combined_attestation_chain.pem
Steg 2: Verifiera kedjan
När den kombinerade CA certifikatfilen är skapad kan du använda OpenSSL för att verifiera det exporterade attesteringscertifikatet:
$ openssl verify -verbose -CAfile <Certifikat_Kedja.pem> <Yubihsm_attestering.pem>
Exempel:
$ openssl verify -verbose -CAfile combined_attestation_chain.pem YubiHSM_attestation_certificate.pem
YubiHSM_attestation_certificate.pem: OK