Генериране на URL адреси PKCS#11¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
Различни приложения използват openssl, за да обработват например TLS сертификати. Тази концепция най-вече позволява просто да се замени файловият път (за тайната) с така наречения PKCS#11 URL, за да се използва тайна от например Nitrokey.
Подготовка¶
гарантира, че
opensslе инсталирангарантира, че
opensslможе да използва механизма PKCS#11, като инсталираlibengine-pkcs11-openssl.
инсталиране на
openscиgnutls-binза необходимите инструментипроверете дали необходимите ви ключове и/или сертификати са налични във вашия Nitrokey, като използвате
pkcs15-tool -Dако искате да използвате ECC ключове/механизми чрез
libengine-pkcs11-openssl, ще трябва да се уверите, че версията му е поне 0.4.10
Изготвяне на списък и генериране на PKCS#11 URL адреси¶
Използвайте следната команда, за да получите списък с наличните токени (Nitrokeys):
p11tool --list-tokens
Изберете URL адреса на токена (Nitrokey), за който искате да генерирате URL токени, и го използвайте по следния начин:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Ако разгледате опашката на URL адреса, ще разпознаете: label, id и други, те могат да бъдат частично премахнати, стига необходимите обекти да могат да бъдат еднозначно идентифицирани с помощта на получения URL адрес, вж:doc:TLS Apache2 Configuration<apache2-tls> за пример с използване само на id.