Skip to main content

Võtmed hallid ehk token-i ID muutmine


Kui turvaserveri haldusliideses Keys And Certificates lehel on siiani kasutusel oleva tokeni read hallid ning juurde on ilmunud uus token, mis on sama nimega ja kuhu saab sisse logida. Arvatavasti juhtus see peale USB tokeni ümbertõstmist või uue HSM seadme (USB pulk või võrgu HSM) ühendamist. Sel juhu pole uue HSM tokeni ID sama, mis oli eelmise tokeniga seotud. 

Soovitame Tokeni ID formaati, kus pole määratud tokeni ID genereerimisel slotIndexi kasutamine. Täpsemalt tokenite formaadist: https://x-tee.ee/docs/live/xroad/ig-ss_x-road_v6_security_server_installation_guide.html#210-installing-the-support-for-hardware-tokens
Soovitav token ID formaat /etc/xroad/devices.ini failis on:

CODE 
[hsm]
token_id_format = {moduleType} {label}

#Muudatus jõustub peale teenuse restarti
service xroad-signer restart.


Probleemi lahendamiseks vaja vana HSM seadme token ID väärtus asendada uuega:

  1. Peata signer teenus: service xroad-signer stop

  2. Tee backup koopia failist: cp /etc/xroad/signer/keyconf.xml /etc/xroad/signer/keyconf.xml.bak

  3. Otsi keyconf.xml seest ülesse HSM pulga read, millega on seotud vana SIGN võti ja sertifikaat (need, mis hallilt kuvatakse kasutajaliideses, sisaldab fraasi <key usage="SIGNING">).

  4. Asenda antud <device> ploki sees olev <tokenId> väärtus uuega, mille saab "uue" pulga tokenId lahtrist, millega pole soetud ühtegi võtit ega sertifikaati (puudub <key> plokk). Uus ja vana tokenId väärtus võib erineda isegi ainult mõne sümboli võrra. 

    1. Kui keyconf.xml failis ei ole uue tokeni plokki, siis uue ID saab vaadata signer-console käsuga:

      CODE 
      sudo -iu xroad signer-console lt
(Vaata active real olevat pikka ID'd, mitte softToken-0)

    2. keyconf.xml failis saab peale seda <device> ploki sees olev <tokenId> väärtus asendada signer-console käsuga saadud uue väärtusega.

    3. NB! See toimib ainult eeldusel, et serveriga on ühendatud ainult uus token ning vana token on lahti ühendatud.

  5. Käivita signer teenus: service xroad-signer start


Soovituslik viis kontrollimaks, et kas Ubuntu näeb HSM seadet

Võtme --module väärtuseks tuleb panna sama, mis on /etc/xroad/devices.ini failis aktiivse HSMi (mis pole välja kommenteeritud) "library=" väärtus.

CODE 
# HSM slottide vaatamine käsurealt:
pkcs11-tool --module failist_devices.ini_library_väärtus -L

# Kas käsurealt sisse logimine õnnestub:
pkcs11-tool --module failist_devices.ini_library_väärtus --slot 0 -O -l

# slottide nägemine:
pkcs11-tool --module failist_devices.ini_library_väärtus -v --login --list-token-slots --list-slots --list-objects

Kui  pcss11-tool abil on pulgalt infot võimalik lugeda ja xroad/devices.ini sees on korrektne library teekond osutatud, siis peale service xroad-signer restarti peab ka turvaserveri haldusliideses olema HSM seadet näha. 


Safeneti pulga draivereid saab näiteks siit: https://installer.id.ee/media/etoken/


JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close