7.8. 패키지에서 Keylime 테넌트 배포

절차

1. Keylime 테넌트를 설치합니다.

   # dnf install keylime-tenant

2. /etc/keylime/tenant.conf.d/00-verifier-ip.conf 파일을 편집하여 테넌트의 Keylime 검증기를 정의합니다.

   [tenant]
   verifier_ip = <verifier_ip>

   • & lt;verifier_ip >를 검증자 시스템의 IP 주소로 바꿉니다.
   • 검증자가 기본값 8881 과 다른 포트를 사용하는 경우 verifier_port = < verifier_port> 설정을 추가합니다.

3. /etc/keylime/tenant.conf.d/00-registrar-ip.conf 파일을 편집하여 Keylime 등록 기관에 대한 테넌트의 연결을 정의합니다.

   [tenant]
   registrar_ip = <registrar_ip>

   • & lt;registrar_ip >를 등록 기관 시스템의 IP 주소로 바꿉니다.
   • 등록 기관이 기본값 8891 과 다른 포트를 사용하는 경우 registrar_port = < registrar_port> 설정을 추가합니다.

4. 테넌트에 인증서 및 키를 추가합니다.

   1. 기본 구성을 사용하고 키와 인증서를 /var/lib/keylime/cv_ca 디렉터리에 로드할 수 있습니다.

   2. 또는 구성에서 키와 인증서의 위치를 정의할 수 있습니다. /etc/keylime/tenant .conf.d/ 디렉터리에 새 .conf 파일을 만듭니다(예: /etc/keylime/tenant.conf.conf.d/00-keys-and-certs.conf ).

      [tenant]
      tls_dir = /var/lib/keylime/cv_ca
      client_key = tenant-key.pem
      client_key_password = <passphrase1>
      client_cert = tenant-cert.pem
      trusted_server_ca = ['</path/to/ca/cert>']

      trusted_server_ca 매개변수는 검증자 및 등록 기관 서버 CA 인증서에 대한 경로를 허용합니다. 예를 들어 검증자 및 등록 기관이 다른 CA를 사용하는 경우 쉼표로 구분된 여러 경로를 제공할 수 있습니다.

      참고

      절대 경로를 사용하여 키 및 인증서 위치를 정의합니다. 또는 tls_dir 옵션에 디렉터리를 정의하고 해당 디렉터리에 상대적인 경로를 사용할 수 있습니다.

5. 선택 사항: 신뢰할 수 있는 플랫폼 모듈(TPM) 승인 키(EK)가 /var/lib/keylime/tpm_cert_store 디렉터리의 인증서를 사용하여 확인할 수 없는 경우 해당 디렉터리에 인증서를 추가합니다. 이는 에뮬레이션된 TPM이 있는 가상 머신을 사용할 때 특히 발생할 수 있습니다.

검증

1. 검증의 상태를 확인합니다.

   # keylime_tenant -c cvstatus
   Reading configuration from ['/etc/keylime/logging.conf']
   2022-10-14 12:56:08.155 - keylime.tpm - INFO - TPM2-TOOLS Version: 5.2
   Reading configuration from ['/etc/keylime/tenant.conf']
   2022-10-14 12:56:08.157 - keylime.tenant - INFO - Setting up client TLS...
   2022-10-14 12:56:08.158 - keylime.tenant - INFO - Using default client_cert option for tenant
   2022-10-14 12:56:08.158 - keylime.tenant - INFO - Using default client_key option for tenant
   2022-10-14 12:56:08.178 - keylime.tenant - INFO - TLS is enabled.
   2022-10-14 12:56:08.178 - keylime.tenant - WARNING - Using default UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000
   2022-10-14 12:56:08.221 - keylime.tenant - INFO - Verifier at 127.0.0.1 with Port 8881 does not have agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000.

   올바르게 설정되고 에이전트가 구성되지 않은 경우 확인자는 기본 에이전트 UUID를 인식하지 못합니다.

2. 등록 기관의 상태를 확인합니다.

   # keylime_tenant -c regstatus
   Reading configuration from ['/etc/keylime/logging.conf']
   2022-10-14 12:56:02.114 - keylime.tpm - INFO - TPM2-TOOLS Version: 5.2
   Reading configuration from ['/etc/keylime/tenant.conf']
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Setting up client TLS...
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Using default client_cert option for tenant
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Using default client_key option for tenant
   2022-10-14 12:56:02.137 - keylime.tenant - INFO - TLS is enabled.
   2022-10-14 12:56:02.137 - keylime.tenant - WARNING - Using default UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000
   2022-10-14 12:56:02.171 - keylime.registrar_client - CRITICAL - Error: could not get agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 data from Registrar Server: 404
   2022-10-14 12:56:02.172 - keylime.registrar_client - CRITICAL - Response code 404: agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 not found
   2022-10-14 12:56:02.172 - keylime.tenant - INFO - Agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 does not exist on the registrar. Please register the agent with the registrar.
   2022-10-14 12:56:02.172 - keylime.tenant - INFO - {"code": 404, "status": "Agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 does not exist on registrar 127.0.0.1 port 8891.", "results": {}}

   올바르게 설정되고 에이전트가 구성되지 않은 경우 등록 기관은 기본 에이전트 UUID를 인식하지 못합니다.