Instalação e configuração do agente no Linux

Descrição geral

Este guia oferece instruções completas para instalar e desinstalar o agente do Redtrust em ambientes Linux. O agente fornece acesso aos certificados de assinatura armazenados no Redtrust e em um HSM conectado, para que os usuários autenticados possam usá-los com ferramentas compatíveis com PKCS#11. Este guia é destinado a administradores de sistemas ou qualquer pessoa responsável por implantar e configurar o Redtrust.

Contexto

O agente funciona sem supervisão: depois de configurado, ele é executado de forma transparente sem exigir interação do usuário. Ele também permite vários usuários simultâneos e é multi-servidor, porque a configuração do servidor é associada a cada usuário. Isso permite que cada pessoa se conecte a um servidor Redtrust diferente sem interferir nos demais usuários do sistema. O agente é projetado para autenticação local do usuário e não inclui interface gráfica, pré-seleção de certificados ou funções de navegação na web. Ele também se concentra exclusivamente no uso de chaves, portanto não é compatível com certificados que exigem um PIN ou restrições específicas de uso.

Antes de começar

O agente é compatível com estas distribuições:

• Debian 11 e 12
• Red Hat 8 e 9
• Ubuntu 22.04 e 23.10

nota

Se você usa outra distribuição Linux, o Redtrust oferece compilações independentes do agente que incluem o runtime do .NET. Se você optar por uma dessas versões, instale o runtime do .NET adequado ao seu sistema. Consulte a documentação da Microsoft sobre distribuições Linux.

Etapa 1: Instalar o agente

Para instalar o agente, execute os comandos a seguir.

1. Atualize todos os pacotes instalados.

Debian / Ubuntu

sudo apt update && sudo apt upgrade

Red Hat

sudo dnf update && sudo dnf upgrade

2. Instale as dependências do sistema.

Debian / Ubuntu

sudo apt install libcurl4 dotnet-runtime-8.0 aspnetcore-runtime-8.0 libssl3 libsqlite3-0 opensc -y

Red Hat

sudo dnf -y install libcurl dotnet-runtime-8.0 aspnetcore-runtime-8.0 sqlite-libs libstdc++ openssl-libs opensc

3. Instale o pacote do Redtrust necessário (confirme a versão do Debian ou Ubuntu no nome do arquivo).

Debian / Ubuntu

sudo apt install PATH_TO_REDTRUST_PACKAGE

Por exemplo:

sudo apt install ./agent/amd64_ubuntu22.04_keyfactor-agent-4.20.0-457bb50-Standalone.deb

Red Hat

sudo dnf install PATH_TO_REDTRUST_PACKAGE

Por exemplo:

sudo dnf install ./amd64_rhel8_keyfactor-agent-4.20.0-457bb50-Standalone.rpm

Você pode verificar a instalação executando este comando:

systemctl status KeyfactorService.service

● KeyfactorService.service - Long running KeyfactorService service/daemon created by Keyfactor.
    Loaded: loaded (/etc/systemd/system/KeyfactorService.service; enabled; vendor preset: enabled)
    Active: active (running) since Tue 2024-01-30 16:22:33 UTC; 20min ago
Main PID: 5472 (KeyfactorServic)
    Tasks: 15 (limit: 4668)
    Memory: 40.9M
        CPU: 960ms
    CGroup: /system.slice/KeyfactorService.service
            └─5472 /usr/local/keyfactor/service/KeyfactorService

Etapa 2: Configurar o agente

1. Depois de instalar o agente, configure os parâmetros necessários.

   keyfactor-setup hostname=[IP_OR_HOSTNAME] clientid=[CLIENT_ID] username=[USERNAME] password=[PASSWORD] loglevel=[LOGLEVEL]

   Por exemplo, o comando para o usuário cris@local.users em agent01.example.com é:

   keyfactor-setup hostname=agent01.example.com clientid=T4N3r2WBbvKfyYe8/z+SVW5N= username=cris@local.users password=ChangeMe123 loglevel=LOW

   LOGLEVEL determina o nível de detalhe incluído nos registros. Os valores válidos são NONE, LOW e HIGH.

2. Para verificar a configuração, execute este teste.

   keyfactor-setup test

   Você também pode exibir os detalhes da configuração armazenada:

   keyfactor-setup show

info

Você pode deixar o parâmetro de senha vazio e defini-lo mais tarde. Quando você o informar depois, a senha aparece mascarada (mostrada como *) em vez de texto claro.

nota

Execute este comando para ver os parâmetros e operações disponíveis:

keyfactor-setup

Etapa 3: Verificar a instalação

Diferente do Windows, o Linux não fornece um repositório centralizado de certificados. Por isso, quando um aplicativo precisa usar certificados, você deve indicar o caminho da biblioteca PKCS#11 do Redtrust ao iniciá-lo.

Para verificar se o agente funciona corretamente, confirme que o módulo PKCS#11 está operacional.

1. Instale a ferramenta pkcs11-tool.

   Debian / Ubuntu

   sudo apt install opensc

   Red Hat

   sudo yum install opensc

2. Verifique se o módulo PKCS#11 do Redtrust está instalado e funcionando corretamente.

   pkcs11-tool --module /usr/lib/libkeyfactorpkcs11.so -t

3. Liste os certificados disponíveis para o usuário que você configurou.

   pkcs11-tool --module /usr/lib/libkeyfactorpkcs11.so --list-objects --type cert

Registros

Se você encontrar problemas durante a instalação ou enquanto o agente Linux estiver em execução, os registros armazenados em /tmp/ podem ajudar a identificar as ações realizadas pelo agente e os componentes envolvidos.

O agente gera dois tipos de arquivos de registro:

• Registros do serviço /tmp/KeyfactorService*: o agente cria um registro de serviço por dia. Esses arquivos registram a atividade principal do agente.
• Registros PKCS11 /tmp/keyfactor-*: cada aplicativo que usa a interface PKCS11 gera seu próprio arquivo de registro. Esses registros permitem identificar como os programas externos interagem com o agente.

Para ver todos os registros disponíveis, execute:

ls -la /tmp/*[Kk]eyfactor*

Desinstalação

Para desinstalar o agente do Redtrust, execute o comando a seguir.

Debian / Ubuntu

sudo dpkg --remove keyfactor-agent
sudo apt remove --purge keyfactor-agent

Red Hat

sudo yum remove keyfactor-agent

Próximos passos

Como assinar documentos com o AutoFirma usando o agente sem supervisão do Redtrust