Page History
RAOs kunnen inloggen met een SCM gebruikersnaam en wachtwoord, of via SURFconext. Dat laatste heeft de voorkeur en bied ook de mogelijkheid om 2FA af te dwingen. Voor accounts die inloggen door middel van een wachtwoord kan een persoonscertificaat als tweede factor worden gebruikt, bij voorkeur opgeslagen op beveiligde hardware. Het is ook mogelijk om een persoonscertificaat in de browser op te slaan, maar zeker indien je ook de wachtwoordmanager van de browser gebruikt voegt dit geen factor toe.
Stappen
- Genereer een persoonscertificaat
- Dit certificaat moet uitgegeven zijn door Sectigo (anders wordt het niet herkend in SCM). Bovendien moet het email adres in het certificaat overeenkomen (hoofdlettergevoelig) met het email adres van het RAO account.
- Het aanvragen van persoonscertificaten kan via een enrollment form in SCM, via de REST API, of (het makkelijkst als je kan inloggen met SURFconext) via via de portal
- Het is mogelijk om hiervoor een 'email signing and encryption' certificaat te gebruiken. 'Personal Authentication' werkt niet, omdat het certificaat moet zijn uitgegeven door Sectigo's publieke CA.
- Het is mogelijk om hiervoor een 'email signing and encryption' certificaat te gebruiken. 'Personal Authentication' werkt niet, omdat het certificaat moet zijn uitgegeven door Sectigo's publieke CA.
- Activeer het client certificate voor toegang tot SCM voor het RAO account. Dit kan een andere beheerder dan jijzelf in SCM door de settings voor het RAO account aan te passen. Ga naar Settings → Admins → <RAO account> → Edit → Authentication. Selecteer bij Client Certificate het Serial Number (16 bytes, hexadecimaal) van het certificaat dat gebruikt moet worden.
Let op:
- Denk er aan om het serial aan te passen indien een nieuw persoonscertificaat wordt aangevraagd!
- Authenticatie met het persoonscertificaat wordt alleen afgedwongen wanneer wordt ingelogd met een Sectigo gebruikersnaam en wachtwoord, niet bij SURFconext login.
Expand | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||
Persoonscertificaat op een YubikeyLET OP! Tot op heden hebben we GEEN goede ervaringen met het opslaan van je persoonscertificaat op een Yubikey. In sommige gevallen werkt het altijd, andere gevallen werkt het soms, en weer andere gevallen werkt het helemaal niet. Daarom raden we deze oplossing ten zeerste af. Als je ervaring hebt opgedaan hoe dit op een stabiele manier te gebruiken, dan horen we dat uiteraard graag! Indien je zowel je wachtwoord voor SCM als het persoonscertificaat in de browser opslaat is er feitelijk geen sprake van een tweede factor. We raden daarom ten sterkste aan om óf een losse wachtwoordmanager te gebruiken óf een persoonscertificaat op een HSM/YubiKey te gebruiken. Yubikeys (zoals de NEO en de 4/5 series) kunnen gebruikt worden voor het veilig opslaan van persoonscertificaten een bijbehorende sleutels op basis van de PIV applet op die keys, via de USB CCID (smartcard) interface. Het activeren van de CCID interface en het genereren van certificaten kan met door Yubico geleverde tools:
De versies in linux distributies zijn vaak niet de meest recente. Voor Ubuntu is een Personal Package Archive beschikbaar met de laatste versies. Je kunt een bestaand certificaat met bijbehorende private sleutel importeren vanaf een PKCS#12 bestand, maar voor 2-factor-authenticatie is het beter de sleutels te genereren op de yubikey zelf. Yubikey preparerenVoordat je de Yubikey kunt gebruiken zul je deze moeten personaliseren door de PIN en de management key aan te passen.
NB: PIN hoeft niet numeriek te zijn! Gebruik hiervoor de GUI (Yubikey Manager) of de command line tool (ykman).
Zie ook: Certificaat installerenHet installeren van het certificaat bestaat uit de volgende stappen:
Gebruik hiervoor de GUI (Yubikey Manager) of de command line tool (ykman). PIV kent een aantal verschillende slots om certificaten en keys in op te slaan. Gebruik voor authenticatie slot 9a. Dit slot is bedoeld voor authenticatie (waarbij de PIN eenmalig bij inloggen wordt gevraagd).
Certificaat op je Yubikey gebruiken in je browserDe slots op je Yubikey met daarin opgeslagen sleutels en certificaten kunnen worden gebruikt vanuit je browser via PKCS#11, een standaard API voor het gebruik van cryptografische hardware. Yubico levert hiervoor de driver YKCS11, die de PKCS#11 functies vertaalt naar PIV APDUs. Deze driver heet FirefoxIn Firefox is het mogelijk een PKCS#11 module te laden. via Preferences | Privacy & Security | Security Devices... Zie hiervoor de documentatie van Yubico Adding YKCS11 Security Device. Overige tokens of browsersVraag certificaten-beheer@surf.nl. |