Nyckelrullning 2016 - Nyckelceremoni

  1. Installation (dagen innan)
  2. Rigga (start 8:00)
    1. Koppla in kortäsare och RNG i APUn
    2. Koppla in konsolsladd till splitter. 
    3. Koppla splitter till skrivare
    4. Koppla splitter till laptop via USB-serie-adapter
    5. Installera terminalemulator på laptop
    6. Anslut laptop till Adobe Connect och initiera skärmdelning av terminalemulatorn
    7. Verifiera att skärmdelning och inspelning funkar
    8. Boota APUn
  3. Utrustning
    1. 6 nyckelkort och förse med klistermärken.
    2. 3 USB minnen (2 för kopia på den privata nyckeln, 1 för överföring av certifikatet)
    3. Ta fram 9 tamperpåsar:
      1. 6 påsar till nyckelkort
      2. 2 påsar till USB-minnen
      3. 1 påse till APUn
    4. Pärm med loggen för APUn
    5. swamid scriptet hämtat från https://github.com/SUNET/keykeeper
  4. Nyckelgenerering (startar 10:00)
    1. Boota APUn
    2. Kontrollera slumptalsgeneratorn

      # swamid ent
    3. Starta nyckelgenereringsprocessen

      # swamid new
    4. Under genereringen kommer scriptet fråga efter 6 nyckelkort. Mata in ett kort i taget (vid prompt)
    5. Scriptet visar fingerprint på publika nyckeln. Alla som vill tar en bild.
    6. Scriptet testar nyckelkorten - välj ut 3 slumpmässiga kort
    7. Scriptet dekrypterar den privata nyckeln och startar ett under-skal. Verifiera den privata nyckeln genom att köra följande två kommandon och verifiera okulärt att output matchar.

      # swamid verify
    8. Lägg varje kort i en plastpåse som förseglas. Varje påses serienummer noteras i loggen. Påsarna delas ut till följande personer: Leif, Valter, Pål, Björn, Fredrik, Eskil.
    9. Boota om APUn
    10. Nyckelgenereringen är avslutad
  5. Backup
    1. Boota APUn
    2. Starta backup-processen:

      # swamid backup

      Scriptet promptar efter ett USB minne. Kör backup 2 ggr. När backup är klar, läggs varje USB-minne i var sin påse som förseglas. Påsarna placeras i kassaskåpen på Nordunet, Kastrup (KAS) och hos SUNET på Tulegatan (TUG). Påsarnas serienummer noteras i loggen.

  6. Export
    1. Starta export-processen:

      # swamid export

      Scriptet kommer att prompta efter ett USB minne. När exporten är klar verifieras innehållet på USB-minnet på valfri laptop varifrån den publika nyckeln läggs upp på mds.swamid.se tillsammans med information om den nya nyckelns fingerprint.

  7. Avslut
    1. Gör shutdown på APUn
    2. Lägg APUn i en påse som förselgas och placeras i kassaskåpet på TUG. Notera påsens serienummer i loggen.

Inspelning av nyckelceremonin

Resultat

nyckelgenerering-logg.txt

Det nya certifikatet:

  • SHA256 fingerprint: A6:78:5A:37:C9:C9:0C:25:AD:5F:1F:69:22:EF:76:7B:C9:78:67:67:3A:AF:4F:8B:EA:A1:A7:6D:A3:A8:E5:85
  • Subject: C=SE, ST=Stockholm, L=Stockholm, O=SUNET, OU=SWAMID, CN=SWAMID metadata signer v2.0
  • Expire: Dec  6 09:28:20 2036 GMT
  • md-signer2.crt, https://mds.swamid.se/md-signer2.crt


  • No labels