Yubico SSH nyckel

yubikey-4c-nano-laptop.jpg Yubico SSH nyckel

Först och främst, för att du inte ska låsa ditt kort för all framtid, läs instruktionerna först, läs igenom hela steget innan du går till nästa steg!

 

1) Laddar hem och installera GPG Suite från https://gpgtools.org

Välj bort PGPMail, den är buggig som fan.

Sk_rmavbild_2017-10-20_kl._08.06.10.png

2) Avbryt GPG Keychain "Skap ett nytt nyckelpar".
Avsluta programmet.

Sk_rmavbild_2017-10-22_kl._08.24.57.png

3) Öppna terminalen och redigera dina lokala inställningsfiler

nano ~/.gnupg/gpg-agent.conf

Lägg till:

pinentry-program /usr/local/MacGPG2/libexec/pinentry-mac.app/Contents/MacOS/pinentry-mac
enable-ssh-support
write-env-file
use-standard-socket
default-cache-ttl 600
max-cache-ttl 7200

Dags att redigera Bash

nano ~/.bash_profile

Lägg till följande i din profil:

export GPG_TTY="$(tty)"
export SSH_AUTH_SOCK="${HOME}/.gnupg/S.gpg-agent.ssh"
gpgconf --launch gpg-agent

4) Starta om, så du får launchagents etc laddade.

Öppna ett nytt terminalfönster för att byta pin på kortet.

$ gpg --change-pin
gpg: OpenPGP-kort nr. XXX identifierades
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Välj 1, skriv in 123456 som tidigare kod i den dialogen som kommer upp, välj en ny smart "enkel" pin.

pin.png

Välj sen 3, skriv in 12345678 som tidigare kod, välj en ny admin pin, notera i 1password.

Välj sen 4, ange admin pin från steg 3 och klistra in en sjukt lång återställningskod genererad från 1password.

Efter du väljer Q för quit.

Notera att om du anger fel PIN kod 3 gånger är kortet låst.

Och om du anger fel ADMIN PIN 3 gånger är kortet dött!

5) Dra ur kortet och stoppar i det igen.

Var noga med att läsa dialogrutorna, de kommer fråga efter PIN en gång och Admin PIN fyra gånger.

Sk_rmavbild_2017-10-22_kl._08.39.59.pngSk_rmavbild_2017-10-22_kl._08.40.09.png

Kör dessa tre kommandon i terminalen.

gpg --card-edit
admin
generate

Ange PIN kod från tidigare byte.

Skapa säkerhetskopia av krypteringsnyckel utanför kortet? (J/n) J
Vilken nyckelstorlek vill du använda för signaturnyckeln? (2048) 4096
Kortet kommer nu att konfigurer
as om för att generera en nyckel med 4096 bitar

Note: There is no guarantee that the card supports the requested size.
If the key generation does not succeed, please check the
documentation of your card to see what sizes are allowed.
Vilken nyckelstorlek vill du använda för krypteringsnyckeln? (2048) 4096
Kortet kommer nu att konfigureras om för att generera en nyckel med 4096 bitar
Vilken nyckelstorlek vill du använda för autentiseringsnyckeln? (2048) 4096
Kortet kommer nu att konfigureras om för att generera en nyckel med 4096 bitar
För hur lång tid ska nyckeln vara giltig? (0)
Nyckeln går aldrig ut
Stämmer detta? (j/N) j
GnuPG behöver konstruera en användaridentitet för att identifiera din nyckel.
Namn: Fyll i för och efternamn
E-postadress: epost
Kommentar:
Du valde följande ANVÄNDAR-ID:
"För och efternamn <epost>"

Ändra (N)amn, (K)ommentar, (E)post eller (O)k/(A)vsluta? O

Ange Admin PIN och vänta.

(du ser att krypteringsnyckel jobbar)

Ange PIN och vänta längre.

När den ber om en phassphrase för säkerhetskopian, välj en sjukt lång med hjälp av 1password

Gå ur med hjälp av:
quit

Fortsätt genom att exportera ut den publika delen av nyckeln

ssh-add -L

Du får publika delen av din nyckel, kopiera den.

ssh user@host
nano ~/.ssh/authorized_keys
Klistra in din publika nyckel på en rad. Tips: byt "cardno:xxxx" till typ user@work_yubico.

När du sen använder ssh dit så får du denna snälla dialog för att låsa upp SSH nyckeln.

Sk_rmavbild_2017-10-22_kl._08.39.59.png

Har du fler frågor? Skicka en förfrågan

0 Kommentarer

logga in för att lämna en kommentar.
Powered by Zendesk