为您的家庭实验室建立一个微小的证书颁发机构

TL; DR在本教程中，我们将构建一个小型的独立在线证书颁发机构（CA），该证书颁发机构将生成TLS证书并使用YubiKey进行保护。它将是我们本地网络上的内部ACME服务器（ACME与Let's Encrypt使用的协议相同）。 YubiKey将安全地存储CA私钥和签名证书，作为硬件安全模块（HSM）的廉价替代品。我们还将使用开源的True Random Number Generator（称为无限噪声TRNG）来为Linux熵池增光添彩。

由于端到端TLS很棒，因此您应该可以轻松地在需要的任何地方运行TLS。特别是在您的家庭实验室中。内部网络不再被视为可以进行未加密流量的安全区域。但是您需要证书。

由于TLS客户端身份验证在各种服务中得到越来越广泛的支持，并且比密码要好得多。但是您需要证书。

由于ACME协议（由Let's Encrypt使用）可以轻松地在内部部署，因此您可以自动进行续订，而不必考虑证书。

因为也许您已经用OpenSSL完成了“自签名证书”操作十多次。可能还要使事情正规化，并使您的设备信任可以在任何需要的地方使用的CA。

支持CA签名操作的支持个人身份验证（PIV）应用程序的任何YubiKey。我使用的是YubiKey 5 NFC。

USB拇指驱动器（或第二个YubiKey），用于存储我们CA的脱机备份

在笔记本电脑上，使用Raspberry Pi Imager将Ubuntu 20.10 Server 64位ARM预安装服务器映像刻录到microSD卡上。

启动Raspberry Pi，将其插入网络并找到其初始IP地址。您可以运行arp -na | grep -e＆＃34; b8：27：eb＆＃34; -e＆＃34; dc：a6：32＆＃34; -e＆＃34：5f：01＆＃34;在本地网络上发现Raspberry Pi设备。

使用timedatectl set-timezone America / Los_Angeles设置时区（或任何时区； timedatectl list-timezone将列出所有时区）

确保NTP工作正常。使用timedatectl检查状态-确保“ NTP服务”为“活动”。如果没有，您可以将一些NTP服务器添加到/etc/systemd/timesyncd.conf并运行systemctl restart systemd-timesyncd。

您需要在计算机上使用DNS名称（对我来说是tinyca.internal）和/或网络上的静态IP。

现在，插入您的YubiKey。让我们安装yubico-piv-tool，并确保您可以连接到YubiKey：

$ sudo apt-add-repository ppa：yubico / stable $ sudo apt update $ sudo apt install -y yubico-piv-tool $ yubico-piv-tool --action =＆＃34; status＆＃34;版本：5.2.7串行数字：... CHUID：3019 ..... 0fe00CCC：无可用数据PIN尝试左移：3

$ cd $ curl -LO https://golang.org/dl/go1.15.6.linux-arm64.tar.gz$ sudo tar -C / usr / local -xzf go1.15.6.linux-arm64.tar.gz $ cat＆lt;＆lt; EOF＆gt;＆gt; .profile＆gt;导出PATH = $ PATH：/ usr / local / go / bin＆gt; EOF $源.profile $ go版本go版本go1.15.6 linux / arm64

您需要同时安装step-ca（CA服务器软件）和step（用于配置和控制step-ca的命令）。

$ curl -LO https://github.com/smallstep/certificates/archive/v0.15.5.tar.gz$ tar xvzf v0.15.5.tar.gz $ cd certificate-0.15.5 /＃step-ca说明从此处开始：$ sudo apt-get install -y libpcsclite-dev $ make bootstrap $ make build GOFLAGS =＆＃34;＆＃34; .... Build Complete！$ sudo cp bin / step-ca / usr / local / bin $ sudo setcap CAP_NET_BIND_SERVICE = + eip / usr / local / bin / step-ca $ step-ca versionSmallstep CA / 0.15.5（linux / arm64）发布日期：2020-12-08 19:49 UTC

$ curl -LO https://github.com/smallstep/cli/releases/download/v0.15.3/step_linux_0.15.3_arm64.tar.gz$ tar xvzf step_linux_0.15.3_arm64.tar.gz $ sudo cp step_0.15.3 / bin / step / usr / local / bin $步骤版本Smallstep CLI / 0.15.3（linux / arm64）发布日期：2020-10-21 23:46 UTC

无限噪声TRNG是一种开源USB真随机数发生器。它使用“模块化熵乘法器”架构来快速生成大量随机数据。对于此设置，守护程序将通过写入/ dev / random来将熵连续地馈入Linux的系统熵池中。

但是CA会实际使用这个可爱的新熵生成器吗？我需要在这里回答两个问题：

CA如何生成随机数？我不得不仔细研究一下以确认这一点。 step-ca使用Go的crypto / rand生成所有密钥，而cyrpto / rand使用/ dev / urandom作为Linux系统上的随机数据源。

通过写入/ dev / random创建的熵是否实际上会影响从/ dev / urandom读取的内容？这样做是因为Linux只有一个熵池，由/ dev / random和/ dev / urandom共享。

我们还需要确认舷外TRNG实际上正在产生高质量的噪声。我们将在一分钟内完成。

您需要从源代码编译驱动程序，因为没有可用的预构建arm64软件包。

$ curl -LO https://github.com/13-37-org/infnoise/archive/0.3.1.tar.gz$ tar xvzf 0.3.1.tar.gz $ cd infnoise-0.3.1 / $ sudo apt -get install -y libftdi-dev libusb-dev $ make -f Makefile.linux $ sudo make -f Makefile.linux installinstall -d / usr / local / sbininstall -m 0755 infnoise / usr / local / sbin / install -d / usr / local / lib / udev / rules.d / install -m 0644 init_scripts / 75-infnoise.rules /usr/local/lib/udev/rules.d/install -d / usr / local / lib / systemd / systeminstall- m 0644 init_scripts / infnoise.service / usr / local / lib / systemd / system

重新启动后，您应该看到驱动程序已启动。它会根据是否存在TRNG来启动和停止。

$ systemctl status infnoise●infnoise.service-Wayward Geek InfNoise TRNG驱动程序已加载：已加载（/usr/local/lib/systemd/system/infnoise.service；已禁用；供应商预设：已启用）活动：自2020年2月以来处于活动状态12-08 12:52:51 PST; 2分钟0之前进程：1652 ExecStart = / usr / local / sbin / infnoise --dev-random --daemon --pidfile /var/run/infnoise.pid（代码=已退出，status = 0＆gt;主PID：1657（infnoise ）任务：1（限制：2099）CGroup：/system.slice/infnoise.service└─1657/ usr / local / sbin / infnoise --dev-random --daemon --pidfile /var/run/infnoise.pidDec 08 12:52:51 tinyca systemd [1]：启动Wayward Geek InfNoise TRNG驱动程序...十二月08 12:52:51 tinyca systemd [1]：启动Wayward Geek InfNoise TRNG驱动程序。

最后，让我们进行运行状况检查，以确保可以使用TRNG：

$ infnoise --debug --no-output生成1048576位。 **可以使用数据。**估计的每位熵：0.877159，估计的K：1.836755num1s：50.514668％，偶数失火：0.111168％，奇数失火：0.152342％^ C

每秒infnoise.service将熵写入/ dev / random。一切都取决于随机性！现在，您已经拥有了足够多的熵，现在可以生成CA密钥了。

现在，您将创建根CA证书和中间CA证书和密钥，并将它们安全地存储在YubiKey上。

理想情况下，此部分应使您的Raspberry Pi保持脱机状态。断开以太网电缆，然后通过HDMI和键盘直接连接到设备。

您不能仅让CA私钥仅存在于YubiKey上。万一YubiKey坏了，您至少要备份一份！

插入USB拇指驱动器。您将直接在此驱动器上生成密钥，这样它们就永远不会碰到Pi的microSD卡。首先，找到您的USB驱动器的设备名称：

$ sudo fdisk -l ...磁盘/ dev / sda：14.91 GiB，16005464064字节，31260672扇区磁盘模型：Cruzer FitUnits：1 * 512 = 512字节的扇区扇区大小（逻辑/物理）：512字节/ 512字节...

在这种情况下，驱动器为/ dev / sda。让我们使用一个ext4分区对其进行初始化：

$ sudo fdisk / dev / sda欢迎使用fdisk（util-linux 2.36）。更改将仅保留在内存中，直到您决定将其写入为止。在使用write命令之前请小心。命令（m寻求帮助）：nPartition类型p primary（ 0个主要，0个扩展，4个免费）e扩展（逻辑分区的容器）选择（默认p）：p分区号（1-4，默认1）：第一个扇区（2048-31260671，默认2048）：最后一个扇区，+ / -sectors或+/- size {K，M，G，T，P}（2048-31260671，默认值为31260671）：创建了类型为＆＃39; Linux＆＃39;的新分区1。大小为14.9 GiB.Command（m为帮助）：w分区表已更改。调用ioctl（）重新读取分区表。同步磁盘。$ sudo mkfs.ext4 / dev / sda1 -vmke2fs 1.45.6（20 -2020年3月）用于mke2fs.conf的fs_types解析度：＆＃39; ext4＆＃39;文件系统标签=操作系统类型：Linux ...创建日志（16384块）：done编写超级块和文件系统记帐信息：done $ sudo mount / dev / sda1 / mnt

太好了，现在您可以创建您的公钥基础结构（PKI）。具体来说，您将创建CA密钥和证书。

Tiny CA具有根CA密钥和证书，以及中间CA密钥和证书。

默认情况下，step-ca颁发具有24小时寿命的证书。我希望此默认设置将迫使您在客户端上设置自动续订。如果您希望更轻松一些，可以随时在CA配置中增加TLS证书的持续时间。

如果设备配置为信任您的根CA，它将信任您使用step-ca创建的证书。

需要X.509证书复习吗？请参阅我们的帖子，有关证书和PKI的所有知识，但又害怕问。

出现提示时，请使用强密码，并离线保存密码，超级安全。

$ cd / mnt $ sudo mkdir ca $ sudo chown ubuntu：ubuntu ca $ export STEPPATH = / mnt / ca $ step ca init --pki --name =＆＃34; Tiny＆＃34;✔您想输入什么密码是？ [留空，我们将生成一个]：...正在生成根证书...已完成！正在生成中间证书...已完成！✔根证书：/mnt/ca/certs/root_ca.crt✔根私钥：/ mnt / ca /​​ secrets /root_ca_key✔根指纹：d6b3b9ef79a42aeeabcd5580b2b516458ddb25d1af4ea7ff0845e624ec1bb609✔中级证书：/mnt/ca/certs/intermediate_ca.crt✔中级私用密钥/ ret /ret_sec😍/ BACK检测使用情况统计信息。它不给家打电话。但是您的反馈意见非常宝贵。您可以提供的有关您如何使用“步骤”的任何信息都会有所帮助。请给我们发送一两个句子，无论好坏：[email protected]或加入https://github.com/smallstep/certificates/discussions。

别忘了给您的CA取个可爱的名字！它会出现在您所有的证书上。还要抓紧您的根指纹；您将需要它来稍后引导您的客户。

$ yubico-piv-tool --action =＆＃34; import-certificate＆＃34; --slot =＆＃34; 9a＆＃34; --touch-policy =＆never＆＃34; ＆lt; /mnt/ca/certs/root_ca.crt成功导入了新证书。$ yubico-piv-tool --action =＆＃34; import-key＆＃34; --slot =＆＃34; 9a＆＃34; --touch-policy =＆never＆＃34; ＆lt; / mnt / ca /​​ secrets / root_ca_key输入PEM密码：...已成功导入新的私钥。$ yubico-piv-tool --action =＆＃34; import-certificate＆＃34; --slot =＆＃34; 9c＆＃34; --touch-policy =＆never＆＃34; ＆lt; /mnt/ca/certs/intermediate_ca.crt成功导入了新证书。$ yubico-piv-tool --action =＆＃34; import-key＆＃34; --slot =＆＃34; 9c＆＃34; --touch-policy =＆never＆＃34; ＆lt; / mnt / ca /​​ secrets / intermediate_ca_key输入PEM密码：...已成功导入新的私钥。 ：没有可用数据槽位9a：算法：ECCP256主题DN：CN =微小的根CA颁发者DN：CN =微小的根CA指纹：d6b3b9ef79a42aeeabcd5580b2b516458ddb25d1af4ea7ff0845e624ec1bb609不早于：Dec 8 20:12:15 2020 GMT Not After： 2030 GMTSlot 9c：算法：ECCP256主题DN：CN =微小的中级CA颁发者DN：CN =微小的根CA指纹：fa21279c114ef44be899cb41e830b920faa6ce2c0ec5bc4f1c9310194e5837d2不早于：Dec 8 20:12:15 2020 GMT Not After向左尝试：3

好！现在，您将复制CA证书文件，将私钥留在USB记忆棒上，然后继续创建CA。

您现在要重新运行步骤ca init，但是您将不使用它生成的证书或密钥。这样做只是为了创建配置文件。在出现提示时选择的密码将是管理员提供者密码。拥有该密码的任何人都可以使用step ca certificate子命令从您的CA获取任何证书。

不要将您的根CA密码用于配置者，而要选择坚固的东西并将其存储在安全的地方。

$ sudo useradd step $ sudo passwd -l step $ sudo mkdir / etc / step-ca $ export STEPPATH = / etc / step-ca $ sudo --preserve-env step ca init --name =＆＃34; Tiny CA＆＃ 34; \ --dns =＆＃34; tinyca.internal，10.20.30.42＆＃34; --address =＆＃34;：443＆＃34; \ --provisioner =＆＃34; [email protected]"✔您希望密码是什么？ [留空，我们将生成一个]：正在生成根证书...已完成！正在生成中间证书...已完成！✔根证书：/etc/step-ca/certs/root_ca.crt✔根私有密钥：/ etc / step-ca / secrets /root_ca_key✔根指纹：d52aa8dc57114fb28aafe0a4fa2795d3afe​​eb3a024bf6e6291077d99ff0cebc6✔中级证书：/ etc / step-ca / certs / intermediate_ca。文件夹：/ etc / step-ca /db✔默认配置：/etc/step-ca/config/defaults.json✔证书颁发机构配置：/etc/step-ca/config/ca.json您的PKI已准备就绪。要为单个服务生成证书，请参见“步骤帮助ca..FEEDBACK”。步骤实用程序未安装使用情况统计信息。它不给家打电话。但是您的反馈意见非常宝贵。您可以提供的有关您如何使用“步骤”的任何信息都会有所帮助。请给我们发送一两个句子，无论好坏：[email protected]或加入https://github.com/smallstep/certificates/discussions。

现在，您将添加一个ACME配置器，它将您的Tiny CA变成一个很小的Let's Encrypt。

$ step ca Provisioner添加acme --type acme成功！您的`step-ca`配置已更新。为了获得新的配置SIGHUP（kill -1＆lt; pid＆gt;）或重新开始step-ca过程。

最后，您需要使用YubiKey上的中间键，将step-ca配置为使用YubiKey签署证书。请注意，此处也显示了默认的YubiKey PIN（123456）。编辑文件/etc/step-ca/config/ca.json。您希望文件的顶部看起来像这样：

{＆＃34; root＆＃34 ;:＆＃34; /etc/step-ca/certs/root_ca.crt" ;,＆＃34; federatedRoots＆＃34 ;: []，＆＃34; crt＆＃34; ：＆＃34; /etc/step-ca/certs/intermediate_ca.crt" ;，＆＃34; key＆＃34 ;：＆＃34; yubikey：slot-id = 9c＆＃34 ;,＆＃34; kms＆ ＃34 ;: {＆＃34; type＆＃34 ;:＆＃34; yubikey＆＃34 ;,＆＃34; pin＆＃34 ;:＆＃34; 123456＆＃34; }，＆＃34; address＆＃34 ;:＆＃34;：443＆＃34 ;, ...

现在，您将启动CA并确保其正常运行：

$ sudo chown -R step：step / etc / step-ca $ sudo -u step step-ca /etc/step-ca/config/ca.json2020/12/08 14:17:06在：443上提供HTTPS .. 。

在这里，您需要使用初始密钥集创建的CA指纹：

$ step ca bootstrap --ca-url =＆＃34; https：//tinyca.internal" --fingerprint d6b3b9ef79a42aeeabcd5580b2b516458ddb25d1af4ea7ff0845e624ec1bb609根证书已保存在/home/ubuntu/.step/certs/root_ca.crt中，您的配置已保存在/home/ubuntu/.step/config/defaults.json步骤中。 34; localhost＆＃34; localhost.crtlocalhost.key✔提供者：[email protected]（JWK）[孩子：Kn16nM7lnKBIsUSB-jd5wJDPgRsxzYsvilWTK4Rm2b0]✔请输入密码以解密提供者密钥：✔CA：https：//tinyca.internal：443✔证书： localhost.crt✔私钥：localhost.key $步骤证书检查localhost.crt --shortX.509v3 TLS证书（ECDSA P-256）[序列号：2949 ... 3005]主题：localhost发行者：Tiny Intermediate CA Provisioner：carl @ smallstep.com [ID：Kn16 ... m2b0]有效期从：2020-12-08T22：18：34Z到：2020-12-09T22：19：34Z

大！您刚刚使用YubiKey和step-ca签署了您的第一个X.509 TLS叶子证书。

当您要求CA为TLS端点颁发叶证书时，您将获得一个证书文件和一个关联的私钥文件。证书文件将同时包含中间CA证书和您请求的叶证书。这样，信任您的根CA的设备就可以验证从根到中间以及从中间到叶的信任链。

在本部分中，您将为step-ca设置systemd服务，以便在系统启动时启动。

您还将配置systemd以在删除YubiKey时停止CA，并在重新插入YubiKey时重新启动它。

首先，您需要通过添加一些udev规则来告诉udev有关您的YubiKey的知识，这将有助于使YubiKey作为设备在systemd中可见。

$ sudo tee /etc/udev/rules.d/75-yubikey.rules＆gt; / dev / null＆lt;＆lt; EOFACTION ==＆＃34; add＆＃34;，SUBSYSTEM ==＆＃34; usb＆＃34;，ENV {PRODUCT} ==＆＃34; 1050/407 / *＆＃34;，TAG + =＆＃34; systemd＆＃34;，SYMLINK + =＆＃34; yubikey＆＃34; ACTION ==＆＃34;删除＆＃34;，SUBSYSTEM ==＆＃34; usb＆＃34;，ENV {PRODUCT} ==＆＃34; 1050 / 407 / *＆＃34;，TAG + =＆＃34; systemd＆＃34; EOF $ sudo udevadm控件-重新加载规则

在此，ENV {PRODUCT}值的格式为{vendorId} / {productId} / *。 Yubico的供应商ID为1050，而407是YubiKey 5 NFC的产品ID。如果您使用其他的YubiKey，则可以在此处找到您的型号。

$ sudo tee /etc/systemd/system/step-ca.service＆gt; / dev / null＆lt;＆lt; EOF [单位]说明= step-caBindsTo = dev-yubikey.deviceAfter = dev-yubikey.device [服务]用户= stepGroup = stepExecStart = / bin / sh -c＆＃39; / usr / local / bin / step-ca /etc/step-ca/config/ca.json'Type=simpleRestart=on-failureRestartSec=10[Install]WantedBy=multi-user.targetEOF$ sudo mkdir /etc/systemd/system/dev-yubikey.device。想要$ sudo ln -s /etc/systemd/system/step-ca.service /etc/systemd/system/dev-yubikey.device.wants/$ sudo systemctl daemon-reload $ sudo systemctl启用step-ca

$ sudo systemctl status step-ca●step-ca.service-step-ca已加载：已加载（/etc/systemd/system/step-ca.service；已启用；供应商预设：已启用）活动：自2020年星期二起处于活动（运行）状态-12-08 14:27:02 PST; 3秒钟前主PID：3269（sh）任务：9（限制：2099）CGroup：/system.slice/step-ca.service├─3269/ bin / sh -c / usr / local / bin / step-ca / etc /step-ca/config/ca.json└─3270/ usr / local / bin / step-ca /etc/step-ca/config/ca.jsonDec 08 14:27:02 tinyca systemd [1]：开始了step- ca.Dec 08 14:27:02 tinyca sh [3270]：2020/12/08 14:27:02在：443上提供HTTPS服务...

完全没有任何SSH访问权限，您的小型CA将是最安全的。对于CA，唯一的开放端口将是443。为了进行维护，您需要插入键盘和显示器。

$ sudo tee /etc/ufw/applications.d/step-ca-server＆gt; / dev / null＆lt;＆lt; EOF [step-ca] title =小步骤CAdescription = step-ca是在线X.509，SSH证书颁发机构端口= 443 / tcp $ sudo ufw允许step-ca $ sudo ufw enableCommand可能会破坏现有的ssh连接。进行运算（y | n）？ yFirewall在系统启动时处于活动状态并已启用

在新设备上运行步骤ca bootstrap时（如上），将从CA下载根证书root_ca.crt。如果运行步骤ca bootstrap --install --ca-url = https：//your.ca- -fingerprint =您的ca-fingerprint，它将把根证书安装到设备的信任库中。

您还可以使用step命令轻松安装根CA证书（安装步骤证书），进行ACME注册（步骤ca证书example.com example.crt example.key --provisioner acme）以及续订任何尚未获得的证书。 还没有过期（请更新example.crt example.key步骤）。 对于移动设备，通常可以通过将证书通过蓝牙或AirDrop或电子邮件附件发送给自己来安装证书。 确保不仅安装了证书，而且设备确实信任该证书。 这通常涉及设备上的几个确认步骤。 借助ACME设置程序，您可以使用Certbot等软件或 ......