Instalación y configuración del agente en Linux

Descripción general

Esta guía ofrece instrucciones completas para instalar y desinstalar el agente de Redtrust en entornos Linux. El agente proporciona acceso a los certificados de firma almacenados en Redtrust y en un HSM conectado, para que los usuarios autenticados puedan utilizarlos con herramientas compatibles con PKCS#11. Esta guía está dirigida a administradores de sistemas o a cualquier persona responsable de desplegar y configurar Redtrust.

Contexto

El agente funciona sin supervisión: una vez configurado, se ejecuta de forma transparente sin requerir interacción del usuario. También permite varios usuarios concurrentes y es multi-servidor, porque la configuración del servidor se asocia a cada usuario. Esto permite que cada persona se conecte a un servidor Redtrust diferente sin interferir con otros usuarios del sistema. El agente está diseñado para la autenticación del usuario local y no incluye interfaz gráfica, preselección de certificados ni funciones de navegación web. También se centra exclusivamente en el uso de claves, por lo que no admite certificados que requieran un PIN o restricciones de uso específicas.

Antes de empezar

El agente es compatible con estas distribuciones:

• Debian 11 y 12
• Red Hat 8 y 9
• Ubuntu 22.04 y 23.10

nota

Si utilizas otra distribución Linux, Redtrust ofrece compilaciones independientes del agente que incluyen el runtime de .NET. Si optas por una de estas versiones, instala el runtime de .NET adecuado para tu sistema. Consulta la documentación de Microsoft sobre distribuciones Linux.

Paso 1: Instalar el agente

Para instalar el agente, ejecuta los siguientes comandos.

1. Actualiza todos los paquetes instalados.

Debian / Ubuntu

sudo apt update && sudo apt upgrade

Red Hat

sudo dnf update && sudo dnf upgrade

2. Instala las dependencias del sistema.

Debian / Ubuntu

sudo apt install libcurl4 dotnet-runtime-8.0 aspnetcore-runtime-8.0 libssl3 libsqlite3-0 opensc -y

Red Hat

sudo dnf -y install libcurl dotnet-runtime-8.0 aspnetcore-runtime-8.0 sqlite-libs libstdc++ openssl-libs opensc

3. Instala el paquete de Redtrust que necesites (comprueba la versión de Debian o Ubuntu en el nombre del archivo).

Debian / Ubuntu

sudo apt install PATH_TO_REDTRUST_PACKAGE

Por ejemplo:

sudo apt install ./agent/amd64_ubuntu22.04_keyfactor-agent-4.20.0-457bb50-Standalone.deb

Red Hat

sudo dnf install PATH_TO_REDTRUST_PACKAGE

Por ejemplo:

sudo dnf install ./amd64_rhel8_keyfactor-agent-4.20.0-457bb50-Standalone.rpm

Puedes verificar la instalación ejecutando este comando:

systemctl status KeyfactorService.service

● KeyfactorService.service - Long running KeyfactorService service/daemon created by Keyfactor.
    Loaded: loaded (/etc/systemd/system/KeyfactorService.service; enabled; vendor preset: enabled)
    Active: active (running) since Tue 2024-01-30 16:22:33 UTC; 20min ago
Main PID: 5472 (KeyfactorServic)
    Tasks: 15 (limit: 4668)
    Memory: 40.9M
        CPU: 960ms
    CGroup: /system.slice/KeyfactorService.service
            └─5472 /usr/local/keyfactor/service/KeyfactorService

Paso 2: Configurar el agente

1. Después de instalar el agente, configura los parámetros necesarios.

   keyfactor-setup hostname=[IP_OR_HOSTNAME] clientid=[CLIENT_ID] username=[USERNAME] password=[PASSWORD] loglevel=[LOGLEVEL]

   Por ejemplo, el comando para el usuario cris@local.users en agent01.example.com es:

   keyfactor-setup hostname=agent01.example.com clientid=T4N3r2WBbvKfyYe8/z+SVW5N= username=cris@local.users password=ChangeMe123 loglevel=LOW

   LOGLEVEL determina el nivel de detalle que se incluirá en los logs. Los valores válidos son NONE, LOW y HIGH.

2. Para verificar la configuración, ejecuta esta prueba.

   keyfactor-setup test

   También puedes mostrar los detalles de la configuración almacenada:

   keyfactor-setup show

info

Puedes dejar el parámetro de contraseña vacío y establecerlo más adelante. Cuando lo introduzcas después, la contraseña aparecerá enmascarada (se mostrará como *) en lugar de mostrarse en texto claro.

nota

Ejecuta este comando para ver los parámetros y operaciones disponibles:

keyfactor-setup

Paso 3: Verificar la instalación

A diferencia de Windows, Linux no proporciona un almacén centralizado de certificados. Por este motivo, cuando una aplicación necesita usar certificados, debes indicar la ubicación de la biblioteca PKCS#11 de Redtrust al iniciarla.

Para comprobar que el agente funciona correctamente, asegúrate de que el módulo PKCS#11 está operativo.

1. Instala la utilidad pkcs11-tool.

   Debian / Ubuntu

   sudo apt install opensc

   Red Hat

   sudo yum install opensc

2. Verifica que el módulo PKCS#11 de Redtrust está instalado y funciona correctamente.

   pkcs11-tool --module /usr/lib/libkeyfactorpkcs11.so -t

3. Lista los certificados disponibles para el usuario que configuraste.

   pkcs11-tool --module /usr/lib/libkeyfactorpkcs11.so --list-objects --type cert

Logs

Si encuentras problemas durante la instalación o mientras el agente de Linux está en ejecución, los logs almacenados en /tmp/ pueden ayudarte a identificar qué acciones realizó el agente y qué componentes intervinieron.

El agente genera dos tipos de archivos de log:

• Logs del servicio /tmp/KeyfactorService*: el agente crea un log de servicio por día. Estos archivos registran la actividad principal del agente.
• Logs de PKCS11 /tmp/keyfactor-*: cada aplicación que usa la interfaz PKCS11 genera su propio archivo de log. Estos logs te permiten identificar cómo interactúan los programas externos con el agente.

Para ver todos los logs disponibles, ejecuta:

ls -la /tmp/*[Kk]eyfactor*

Desinstalación

Para desinstalar el agente de Redtrust, ejecuta el siguiente comando.

Debian / Ubuntu

sudo dpkg --remove keyfactor-agent
sudo apt remove --purge keyfactor-agent

Red Hat

sudo yum remove keyfactor-agent

Próximos pasos

Cómo firmar documentos con AutoFirma usando el agente desatendido de Redtrust