教程:使用可信平台模块 (TPM) 保护 Greengrass Nucleus - Amazon IoT Greengrass
先决条件步骤 1:安装 TPM2 工具和依赖项步骤 2:初始化 PKCS #11 存储并创建槽位步骤 3:创建令牌和密钥步骤 4:生成证书签名请求 (CSR)步骤 5:创建事物证书步骤 6:将事物证书导入 TPM步骤 7:捕获 PKCS #11 对象网址第 8 步:配置并安装支持的 Greengrass TPM2 步骤 9:验证安装故障排查后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:使用可信平台模块 (TPM) 保护 Greengrass Nucleus

注意

本教程中的机制仅支持 使用手动资源配置来安装 Amazon IoT Greengrass Core 软件

这些教程包含有关如何使用该 TPM2 芯片作为硬件安全模块 (HSM) 来创建私钥和 CSR 的说明。这用于 创建事物证书

这些教程向您展示了如何使用 PKCS #11 接口配置带有可信平台模块 (TPM) 的 Amazon IoT Greengrass 核心软件 (Greengrass Nucleus),从而增强设备安全性。这种 TPM 集成可确保用于设备识别和连接的私钥和证书安全地存储在防篡改的硬件中,防止因冒充或其他恶意活动而 Amazon IoT Core 被提取。

完成此集成后,您的 Greengrass 核心设备将使用受 TPM 保护的私钥进行身份识别和与服务的通信。 Amazon IoT

有关 Greengrass 设备上安全的更多信息,请参阅Amazon IoT Greengrass 中的安全性

先决条件

要完成本教程,您需要:

  • 一台兼容 Linux 的设备,配备 TPM 2.0 硬件或 TPM 2.0 固件。

  • 本教程中的说明是针对 Ubuntu 24.04 LTS 制定的。

  • 一台开发者计算机, Amazon CLI 安装并配置了以下权限:

    • 创建和管理 Amazon IoT 资源

    • 创建和管理 IAM 角色和策略

  • 您的设备安装了 Java 运行时环境(JRE)版本 8 或更高版本。

  • 您的设备上安装了以下软件包:

    • curl

    • jq

  • 设备上的 root 或 sudo 权限。

步骤 1:安装 TPM2 工具和依赖项

在此步骤中,您将安装必要的 TPM2 软件工具和库。

  1. 通过运行以下命令更新您的软件包管理器并安装 TPM2 工具和依赖项。

    
sudo apt-get update && sudo apt-get install tpm2-tools \
tpm2-abrmd \
tpm2-tss-engine-tools \
gnutls-bin \
libtpm2-pkcs11-1 \
libtpm2-pkcs11-tools \
libtpm2-pkcs11-1-dev \
python3-tpm2-pkcs11-tools \
libengine-pkcs11-openssl \
libtss2-tcti-tabrmd0

  2. 在 Ubuntu 24.04 上安装使用 OpenSSL 引擎 3 的 OpenSSL TPM2 提供程序包。

    sudo apt-get install tpm2-openssl

步骤 2:初始化 PKCS #11 存储并创建槽位

  1. 创建存储数据的目录。

    
sudo mkdir -p /etc/tpm2_pkcs11

  2. 将存储位置设置为环境变量。有关存储层次结构的更多信息,请参阅初始化

    
export TPM2_PKCS11_STORE=/etc/tpm2_store

  3. 用主对象初始化 TPM2 令牌。

    
sudo tpm2_ptool init

    可用选项如下:

    hierarchy-auth HIERARCHY_AUTH

    向层次结构添加主对象的授权密码。

    primary-auth PRIMARY_AUTH

    现有主键对象的授权值。

    默认身份验证值为空。

    primary-handle [PRIMARY_HANDLE]

    使用现有的主键对象。

    默认值:0x81000001

    transient-parents

    使用给定模板的临时主对象。

    值:tpm2-tools-defaulttpm2-tools-ecc-defaulttss2-engine-key

    path PATH

    存储目录的位置。如果指定,则该目录必须存在。如果未指定,则通过查看环境变量 TPM2_PKCS11_STORE 进行搜索。如果未设置该环境变量,则将查看 /etc/tpm2_pkcs11。如果找不到或无法创建该目录,则默认为当前的工作目录。

步骤 3:创建令牌和密钥

  1. 创建 PKCS #11 令牌。

    
sudo tpm2_ptool addtoken —pid=1 —userpin=USERPIN —sopin=SOPIN —label=greengrass

    可用选项如下:

    --pid PID

    与此令牌关联的主对象 ID。

    --sopin SOPIN

    管理员 PIN。该 PIN 用于恢复对象。

    --userpin USERPIN

    用户 PIN。该 PIN 用于验证使用对象的身份。

    --label LABEL

    用于识别在用配置文件的唯一标签,必须是保持唯一性。

    --hierarchy-auth HIERARCHY_AUTH

  2. 创建 ECC 密钥对象。

    
sudo tpm2_ptool addkey —algorithm=ecc256 —label=greengrass —userpin=****** —key-label=greenkey
    --label LABEL

    也用于导入密钥的令牌标签。

    --key-label KEY_LABEL

    导入密钥的标签。默认为整数值。

    --id ID

    密钥 ID。默认为随机的 8 字节十六进制数。

    --attr-always-authenticate

    将 CKA_ALWAYS_AUTHENTICATE 属性设置为 CK_TRUE

    --hierarchy-auth HIERARCHY_AUTH

    层次身份验证,是临时对象所必需的。

    --sopin SOPIN

    管理员 PIN。

    --userpin USERPIN

    用户 PIN。

    --algorithm

    {rsa1024,rsa2048,rsa3072,rsa4096,aes128,aes256,ecc224,ecc256,ecc384,ecc521,hmac:sha1,hmac:sha256,hmac:sha384,hmac:sha512}

    密钥的类型。

  3. 从令牌中导出 TPM2-TSS 对象以捕获身份验证数据。

    
yaml_ecc0=$(sudo tpm2_ptool export —label="greengrass" —key-label="greenkey" —userpin="******")

    输出示例:

    
> echo $yaml_ecc0
object-auth: 706c1cad8a5238871b30149705255926
primary-object:
  auth: ''
  hierarchy: owner
  is_transient: false
    注意

    您还可以在运行此命令的目录中找到一个名为 “greenkey.pem” 的文件,它是 TSS2 私钥。使用该文件通过 TPM2 OpenSSL 提供程序生成 CSR。 TSS2 私钥文件受到 TPM 保护,不能在其他计算机上使用。有关使用 OpenSSL 的 TSS2 密钥的更多信息,请参阅存储私钥或公钥。

  4. 获取 TSS 私钥的身份验证数据。

    auth_ecc0=$(echo "$yaml_ecc0" | grep "object-auth" | cut -d' ' -f2-)

步骤 4:生成证书签名请求 (CSR)

在此步骤中,您将使用 TPM2受保护的私钥生成 CSR。

  1. 使用 TPM2 提供者生成 CSR。

    
sudo openssl req -new -provider tpm2 -provider base -key greenkey.pem -passin "pass:$auth_ecc0" -out "$H"$HOSTNAME".csr

    出现提示时,请提供 CSR 的所需信息,包括:

    • 国家/地区名称(2 字母代码)

    • 州或省名称

    • 所在地名称

    • 组织名称

    • 组织部门名称

    • 公用名

    • 电子邮件地址

    或者,可以提供 OpenSSL 配置文件进行自动生成。有关更多信息,请参阅 OpenSSL 文档

  2. 如果您不是在同一台计算机上生成 CSR,请将生成的 CSR 复制到配置了 Amazon 凭据的计算机上。

步骤 5:创建事物证书

创建 Amazon IoT 事物证书。有关如何创建事物证书的更多信息,请参阅创建事物证书

步骤 6:将事物证书导入 TPM

  1. 将事物证书复制至设备。

  2. 将事物证书添加至 Greengrass 令牌中。

    sudo tpm2_ptool addcert --label=greengrass --key-label=greenkey device.pem.crt

    可用选项如下:

    --help

    显示此帮助消息并退出。

    --label LABEL

    要删除的配置文件标签。

    --key-label KEY_LABEL

    关联的私钥标签。

    --key-id KEY_ID

    关联的私钥 ID(十六进制数)。

    cert

    要添加的 x509 PEM 证书。

步骤 7:捕获 PKCS #11 对象网址

我们将使用gnutls-bin软件包中p11tool提供的来获取 PKCS #11 令牌 URL 和对象 URLs。

  1. 获取 Greengrass 令牌的令牌网址。

    TOKEN=sudo p11tool --list-token-urls | grep "token=greengrass"

  2. 获取 Greengrass 代币的对象 URLs 。使用与步骤 3 中相同的 PIN。

    sudo p11tool --login --list-all "${TOKEN}"

    输出示例:

    Token 'greengrass' with URL 'pkcs11:model=SLB9672%00%00%00%00%00%00%00%00%00;manufacturer=Infineon;serial=0000000000000000;token=greengrass' requires user PIN
Enter PIN:
WARNING: Needed CKA_VALUE but didn't find encrypted blob
Object 0:
        URL: pkcs11:model=SLB9672%00%00%00%00%00%00%00%00%00;manufacturer=Infineon;serial=0000000000000000;token=greengrass;id=%39%32%37%65%61%64%61%39%31%32%35%31%61%35%37%31;object=greenkey;type=private
        Type: Private key (EC/ECDSA-SECP256R1)
        Label: greenkey
        Flags: CKA_PRIVATE; CKA_NEVER_EXTRACTABLE; CKA_SENSITIVE;
        ID: 39:32:37:65:61:64:61:39:31:32:35:31:61:35:37:31

Object 1:
        URL: pkcs11:model=SLB9672%00%00%00%00%00%00%00%00%00;manufacturer=Infineon;serial=0000000000000000;token=greengrass;id=%39%32%37%65%61%64%61%39%31%32%35%31%61%35%37%31;object=greenkey;type=public
        Type: Public key (EC/ECDSA-SECP256R1)
        Label: greenkey
        ID: 39:32:37:65:61:64:61:39:31:32:35:31:61:35:37:31

Object 2:
        URL: pkcs11:model=SLB9672%00%00%00%00%00%00%00%00%00;manufacturer=Infineon;serial=0000000000000000;token=greengrass;id=%39%32%37%65%61%64%61%39%31%32%35%31%61%35%37%31;object=greenkey;type=cert
        Type: X.509 Certificate (EC/ECDSA-SECP256R1)
        Expires: Fri Dec 31 18:59:59 2049
        Label: greenkey
        ID: 39:32:37:65:61:64:61:39:31:32:35:31:61:35:37:31

  3. 获取私钥和证书的对象网址。

第 8 步:配置并安装支持的 Greengrass TPM2

  1. 配置事物证书。有关更多信息,请参阅配置事物证书

  2. 在 HSM 中完成使用私钥和证书安装 C Amazon IoT Greengrass ore 软件的说明。安装 Amazon IoT Greengrass 核心软件然后,使用以下步骤将您的安装配置为 TPM2 通过 PKCS #11 接口进行利用。

  3. 确认已下载 PKCS #11 提供程序组件,并将其保存在 Greengrass 安装程序位置。

  4. 使用文本编辑器创建名为 config.yaml 的配置文件,以提供给安装程序。例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。

    nano GreengrassInstaller/config.yaml

  5. 将以下 YAML 内容复制到该文件中。此部分配置文件会指定系统参数、Greengrass Nucleus 参数和 PKCS#11 提供程序参数。

    ---
system:
  certificateFilePath: "pkcs11:model=SW%20%20%20TPM%00%00%00%00%00%00%00%00;manufacturer=IBM;serial=0000000000000000;token=greengrass;id=%34%35;object=greenkey;type=cert"
  privateKeyPath: "pkcs11:model=SW%20%20%20TPM%00%00%00%00%00%00%00%00;manufacturer=IBM;serial=0000000000000000;token=greengrass;id=%34%35;object=greenkey;type=private"
  rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
  rootpath: "/greengrass/v2"
  thingName: "myThing"
services:
  aws.greengrass.Nucleus:
    componentType: "NUCLEUS"
    version: "2.14.0"
    configuration:
      awsRegion: "us-east-1"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
      iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
  aws.greengrass.crypto.Pkcs11Provider:
    configuration:
      name: "tpm2_pkcs11"
      library: "/usr/lib/x86_64-linux-gnu/pkcs11/libtpm2_pkcs11.so"
      slot: 1
      userPin: "123456"

  6. 使用您的安装的特定参数编辑文件。

    1. privateKeyPath 使用更新 certificateFilePath 和步骤 7 中捕获的 PKCS #11 网址进行更新 certificateFilePath。 privateKeyPath

    2. iotCredEndpoint 根据您的 Amazon IoT 终端节点更新您的 iotDataEndpoint 和。

    3. aws.greengrass.crypto.Pkcs11Provider 配置中,根据您的平台更新库。

      注意

      所示示例适用于 X86_64。 ARM64设备的文件路径将与之类似。

  7. 完成中 安装 Amazon IoT Greengrass 核心软件 的 Greengrass 安装步骤。

步骤 9:验证安装

在此步骤中,您将通过集成验证 Greengrass 是否正常运行。 TPM2

  1. 检查 Greengrass 服务状态。

    sudo systemctl status greengrass.service

  2. 查看 Greengrass 日志,确保没有出错。

    sudo tail -f /greengrass/v2/logs/greengrass.log

  3. 确认设备在Amazon IoT 控制台中显示为已连接。

    1. 登录 Amazon IoT Greengrass 控制台

    2. 管理下,展开 Greengrass 设备,然后选择核心设备

    3. 确认您的设备已连接。如果已连接,设备状态将显示 HEALTHY。有关更多信息,请参阅 检查 Greengrass 核心设备状态

故障排查

如果您在设置或操作 TPM2启用了 Greengrass 设备的过程中遇到问题,请尝试以下故障排除步骤。

  • 查看 Greengrass 主日志文件。

    sudo tail -f /greengrass/v2/logs/greengrass.log

  • 验证 PKCS #11 提供程序配置。

    sudo cat /greengrass/v2/config/effectiveConfig.yaml

  • 确保 TPM2 服务正在运行。

    sudo systemctl status tpm2-abrmd.service

  • 验证 TPM2 密钥是否可访问。

    sudo pkcs11-tool —module /usr/lib/x86_64-linux-gnu/pkcs11/libtpm2_pkcs11.so -l -p 123456 —list-objects

  • 如果您的操作系统设置为使用 TPM2 存储根密钥(例如 Clevis 或 systemd-cryptenroll)进行全盘加密,请确认您使用的永久用户名与这些工具使用的永久性账号不同。使用相同的持久句柄可能会影响磁盘加密机制。要查看所有已创建和使用的持久句柄,请运行以下命令

    sudo tpm2_getcap handles-persistent

后续步骤

现在,您已成功将 Greengrass 核心设备与集成,您可以: TPM2

有关 Greengrass 设备上安全的更多信息,请参阅Amazon IoT Greengrass 中的安全性