Импортиране на ключове и сертификати#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Като цяло концепцията за импортиране на двойки ключове и/или сертификати е следната:
Създаване на дял DKEK (ключ за криптиране на устройството)
Инициирайте устройството и активирайте DKEK като „Схема за криптиране на устройствата“
Импортиране на дял от DKEK в устройството
Импортиране на контейнер(и) PKCS#12 в DKEK
Тази документация обхваща само един конкретен случай на използване и трябва да служи като пример за цялостния работен процес. За допълнителна информация, моля, прочетете тази тема и тази публикация в блога.
Warning
Тази процедура ще нулира вашето устройство Nitrokey HSM 2 и всички данни в него ще бъдат изтрити!
Подготовка#
уверете се, че всички ключове, които искате да импортирате, са налични като PKCS#12 контейнери (.p12) и знаете паролата, ако е необходимо.
уверете се, че нищо не е необходимо на използвания Nitrokey HSM 2, то ще бъде изтрито по време на тази процедура
изтеглете най-новата версия на Smart Card Shell и я разопаковайте в работната си директория
Импортиране чрез графичния интерфейс на SCSH3#
В разопакованата директория ще намерите scsh3gui
, която може да бъде стартирана с помощта на bash scsh3gui
(за Windows кликнете два пъти върху: scsh3gui.cmd
).
След като инструментът SCSH3 е отворен, трябва да видите вашия Nitrokey HSM 2 в дървовидния изглед. Моля, следвайте тези стъпки, за да импортирате:
Стартиране на ключовия мениджър (File -> Keymanager)
Кликнете с десния бутон на мишката върху „Smartcard-HSM“ -> създайте DKEK дял
Изберете местоположение на файла
Изберете парола за споделяне на DKEK
Кликнете с десния бутон на мишката върху „Smartcard-HSM“ -> Иницииране на устройството
Въведете ПИН кода на администратора
(по избор) Въведете етикет и въведете URL/Host
Изберете метод за удостоверяване: „Потребителски ПИН“
Разрешаване на RESET RETRY COUNTER: „Resetting and unblocking PIN with SO-PIN not allowed“
Въвеждане и потвърждаване на потребителския PIN код
„Изберете схема за криптиране на ключа на устройството“ -> „DKEK shares“
Въведете броя на акциите на DKEK: 1
Кликнете с десния бутон на мишката върху текущата настройка на DKEK -> „Импортиране на DKEK дял“
Изберете местоположението на файла за споделяне на DKEK
Парола за споделяне на DKEK
Кликнете с десния бутон на мишката върху „SmartCard-HSM“ -> „Импортиране от PKCS#12“
Въведете броя на акциите -> 1
Въведете местоположението на файла на споделяне на DKEK
Въведете парола за споделяне на DKEK
Изберете PKCS#12 контейнер за внос (Въведете парола, ако е зададена)
Ключ за избор
Изберете Name to be used (Това е етикетът, използван за ключа в устройството)
Импортиране на повече ключове, ако е необходимо
След като това е направено, можете да проверите дали ключовете са били успешно импортирани, като използвате:
pkcs15-tool -D
В получения резултат ще намерите импортираните ключове, обозначени с името, което сте избрали по-рано.