Hallo zusammen,
ein wahrscheinlich komplexes Problem bei mir. Um mich mit meinem Firmenrechner zu verbinden, nutze ich aktuell Cisco AnyConnect in Verbindung mit einer CardOS-Smartcard. Das ganze würde ich jetzt gerne auch unter Linux machen.
Dazu habe ich mir zunächst OpenConnect und die Zertifikate installiert. Auch die Smartcard wird mit pcsc_scan korrekt erkannt. Nach Anleitung von hier gehe ich folgendermaßen vor:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 | p11tool --list-tokens Token 0: URL: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust Label: System Trust Type: Trust module Manufacturer: PKCS#11 Kit Model: p11-kit-trust Serial: 1 Token 1: URL: pkcs11:model=1.0;manufacturer=Gnome%20Keyring;serial=1%3aSSH%3aHOME;token=SSH%20Keys Label: SSH Keys Type: Generic token Manufacturer: Gnome Keyring Model: 1.0 Serial: 1:SSH:HOME Token 2: URL: pkcs11:model=1.0;manufacturer=Gnome%20Keyring;serial=1%3aSECRET%3aMAIN;token=Secret%20Store Label: Secret Store Type: Generic token Manufacturer: Gnome Keyring Model: 1.0 Serial: 1:SECRET:MAIN Token 3: URL: pkcs11:model=1.0;manufacturer=Gnome%20Keyring;serial=1%3aUSER%3aDEFAULT;token=Gnome2%20Key%20Storage Label: Gnome2 Key Storage Type: Generic token Manufacturer: Gnome Keyring Model: 1.0 Serial: 1:USER:DEFAULT Token 4: URL: pkcs11:model=1.0;manufacturer=Gnome%20Keyring;serial=1%3aXDG%3aDEFAULT;token=User%20Key%20Storage Label: User Key Storage Type: Generic token Manufacturer: Gnome Keyring Model: 1.0 Serial: 1:XDG:DEFAULT Token 5: URL: pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28 Label: CardOS PKCS#15 Default Profile ( Type: Hardware token Manufacturer: www.atos.net/cardos Model: PKCS#15 Serial: 8BD7BA47CEF12208 Token 6: URL: pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28 Label: CardOS PKCS#15 Default Profile ( Type: Hardware token Manufacturer: www.atos.net/cardos Model: PKCS#15 Serial: 8BD7BA47CEF12208 Token 7: URL: pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28 Label: CardOS PKCS#15 Default Profile ( Type: Hardware token Manufacturer: www.atos.net/cardos Model: PKCS#15 Serial: 8BD7BA47CEF12208 |
Zunächst mal irritiert mich, dass meine Smartcard hier schon 3x auftaucht. Aber da die URL überall identisch ist, nehme ich einfach irgendeins für Schritt 2:
1 2 3 4 5 6 7 8 9 10 11 12 | p11tool --list-all-certs 'pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28' Object 0: URL: pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28;id=%48%92%4d%33%7b%28%ae%65%a2%7d%79%f4%bb%d6%0b%03%ce%d3%cd%09;object=92eab2cc-f0e2-43d7-a5917680c3fd9125;object-type=cert Type: X.509 Certificate Label: 92eab2cc-f0e2-43d7-a5917680c3fd9125 ID: 48:92:4d:33:7b:28:ae:65:a2:7d:79:f4:bb:d6:0b:03:ce:d3:cd:09 Object 1: URL: pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28;id=%27%0b%87%74%a7%16%73%af%25%28%a0%8f%b3%fd%c6%1d%d8%b3%69%48;object=cc45de41-a25-48d3-944e6b98d1012f87;object-type=cert Type: X.509 Certificate Label: cc45de41-a25-48d3-944e6b98d1012f87 ID: 27:0b:87:74:a7:16:73:af:25:28:a0:8f:b3:fd:c6:1d:d8:b3:69:48 |
So, die zwei Zertifikate sind korrekt und das erste ist das richtige für die Smartcard-Authentifizierung (das zweite ist für E-Mail-Verschlüsselung). Also versuche ich die Schlüssel auszulesen:
1 2 3 4 5 6 7 | p11tool --list-privkeys --login 'pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28;id=%48%92%4d%33%7b%28%ae%65%a2%7d%79%f4%bb%d6%0b%03%ce%d3%cd%09;object=92eab2cc-f0e2-43d7-a5917680c3fd9125;object-type=cert' Token 'CardOS PKCS#15 Default Profile (' with URL 'pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28' requires user PIN Enter PIN: Re-using cached PIN for token 'CardOS PKCS#15 Default Profile (' *** Wrong PIN has been provided! Token 'CardOS PKCS#15 Default Profile (' with URL 'pkcs11:model=PKCS%2315;manufacturer=www.atos.net%2fcardos;serial=8BD7BA47CEF12208;token=CardOS%20PKCS%2315%20Default%20Profile%20%28' requires user PIN Enter PIN: |
Falsche PIN! Tja, vertippt natürlich. Aber nach ein paar Versuchen bin ich mir sehr sicher, dass ich das nicht gemacht habe. Genau die PIN, die unter Windows mit AnyConnect funktioniert, möchte hier nicht.
Wahrscheinlich fehlen noch ein paar Informationen, die jetzt relevant wären. Bitte fragt mich hierzu aus oder gebt mir einfach Hinweise, an welchen Stellen ich jetzt weiter suchen könnte. Da ich schon sehr lange an dem Thema dran bin, sind mir jetzt leider die Ideen ausgegangen ☹
Viele Grüße Onkel Judith