三、使用PKCS
使用PKCS在建立憑證、導出公鑰並轉換為SSH驗證KEY的步驟都相同,如果先前已經有按照方式二中的步驟拿到SSH 驗證KEY,就不需要再做一次了。
實際操作看起來憑證是不需要導入到作業系統中,連線的軟體直接從YubiKey讀取憑證。
客戶端的設定有些不一樣
首先需要安裝一個程式https://github.com/OpenSC/OpenSC/releases
在Putty CAC中,定位到Connection—SSH—Certificate點擊「Set PKCS Cert..」,瀏覽到\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll,然後程式會去讀取YubiKey中的憑證
此時連線Linux時,就會彈窗提示輸入YubiKey的PIN密碼,如果沒有修改預設為123456,如果有修改,就輸入修改後的密碼。
針對Xshell的官方說明:
https://netsarang.atlassian.net/wiki/spaces/ENSUP/pages/796426271/SSH+Connections+with+YubiKey+PKCS+11+User+Authentication+PIV
小叮嚀:
Open SC的版本有分32位元和64位元的版本,建議要和SSH的客戶端版本相對應,比如文章中的Putty是使用64位元的版本,則Open SC就需要使用64位元的版本,版本不對應就會報錯。而Xshell 的程式是32位元,則只能搭配Open SC的32位元的版本,否則會提示the middleware is not appropriate錯誤。