Offline PKI mit YubiKeys: Eine sichere und praktische Anleitung
Dieser Beitrag beschreibt ein Offline-PKI-System, das mit YubiKeys und einem Libre Computer Sweet Potato SBC aufgebaut wurde. Drei YubiKeys speichern die Root- und Zwischen-CAs, die über einen vom Netzwerk isolierten SBC verwaltet werden, um die Sicherheit zu erhöhen. Der Autor führt durch die Verwendung der Python-Anwendung `offline-pki` für die Schlüsselverwaltung und die Zertifikatsgenerierung, wobei die Rücksetzung der YubiKeys, die Generierung und Replikation der Root-CA und die Erstellung der Zwischen-CA behandelt werden. Nix wird für die Umgebungseinrichtung und -bereitstellung verwendet, wobei QEMU-VM- und SD-Kartenabbilder für Tests und die Bereitstellung bereitgestellt werden. Dieses System bietet eine kostengünstige PKI-Lösung für sicherheitskritische Umgebungen.