Импортиране на ключове и сертификати#

Като цяло концепцията за импортиране на двойки ключове и/или сертификати е следната:

  • Създаване на дял DKEK (ключ за криптиране на устройството)

  • Инициирайте устройството и активирайте DKEK като „Схема за криптиране на устройствата“

  • Импортиране на дял от DKEK в устройството

  • Импортиране на контейнер(и) PKCS#12 в DKEK

Тази документация обхваща само един конкретен случай на използване и трябва да служи като пример за цялостния работен процес. За допълнителна информация, моля, прочетете тази тема и тази публикация в блога.

Warning

Тази процедура ще нулира вашето устройство Nitrokey HSM 2 и всички данни в него ще бъдат изтрити!

Подготовка#

  • уверете се, че всички ключове, които искате да импортирате, са налични като PKCS#12 контейнери (.p12) и знаете паролата, ако е необходимо.

  • уверете се, че нищо не е необходимо на използвания Nitrokey HSM 2, то ще бъде изтрито по време на тази процедура

  • изтеглете най-новата версия на Smart Card Shell и я разопаковайте в работната си директория

Импортиране чрез графичния интерфейс на SCSH3#

В разопакованата директория ще намерите scsh3gui, която може да бъде стартирана с помощта на bash scsh3gui (за Windows кликнете два пъти върху: scsh3gui.cmd).

След като инструментът SCSH3 е отворен, трябва да видите вашия Nitrokey HSM 2 в дървовидния изглед. Моля, следвайте тези стъпки, за да импортирате:

  • Стартиране на ключовия мениджър (File -> Keymanager)

  • Кликнете с десния бутон на мишката върху „Smartcard-HSM“ -> създайте DKEK дял

    • Изберете местоположение на файла

    • Изберете парола за споделяне на DKEK

  • Кликнете с десния бутон на мишката върху „Smartcard-HSM“ -> Иницииране на устройството

    • Въведете ПИН кода на администратора

    • (по избор) Въведете етикет и въведете URL/Host

    • Изберете метод за удостоверяване: „Потребителски ПИН“

    • Разрешаване на RESET RETRY COUNTER: „Resetting and unblocking PIN with SO-PIN not allowed“

    • Въвеждане и потвърждаване на потребителския PIN код

    • „Изберете схема за криптиране на ключа на устройството“ -> „DKEK shares“

    • Въведете броя на акциите на DKEK: 1

  • Кликнете с десния бутон на мишката върху текущата настройка на DKEK -> „Импортиране на DKEK дял“

    • Изберете местоположението на файла за споделяне на DKEK

    • Парола за споделяне на DKEK

  • Кликнете с десния бутон на мишката върху „SmartCard-HSM“ -> „Импортиране от PKCS#12“

    • Въведете броя на акциите -> 1

    • Въведете местоположението на файла на споделяне на DKEK

    • Въведете парола за споделяне на DKEK

    • Изберете PKCS#12 контейнер за внос (Въведете парола, ако е зададена)

    • Ключ за избор

    • Изберете Name to be used (Това е етикетът, използван за ключа в устройството)

    • Импортиране на повече ключове, ако е необходимо

След като това е направено, можете да проверите дали ключовете са били успешно импортирани, като използвате:

pkcs15-tool -D

В получения резултат ще намерите импортираните ключове, обозначени с името, което сте избрали по-рано.