Генериране на URL адреси PKCS#11¶
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Различни приложения използват openssl, за да обработват например TLS сертификати. Тази концепция най-вече позволява просто да се замени файловият път (за тайната) с така наречения PKCS#11 URL, за да се използва тайна от например Nitrokey.
Подготовка¶
гарантира, че
openssl
е инсталирангарантира, че
openssl
може да използва механизма PKCS#11, като инсталираlibengine-pkcs11-openssl
.
инсталиране на
opensc
иgnutls-bin
за необходимите инструментипроверете дали необходимите ви ключове и/или сертификати са налични във вашия Nitrokey, като използвате
pkcs15-tool -D
ако искате да използвате ECC ключове/механизми чрез
libengine-pkcs11-openssl
, ще трябва да се уверите, че версията му е поне 0.4.10
Изготвяне на списък и генериране на PKCS#11 URL адреси¶
Използвайте следната команда, за да получите списък с наличните токени (Nitrokeys):
p11tool --list-tokens
Изберете URL адреса на токена (Nitrokey), за който искате да генерирате URL токени, и го използвайте по следния начин:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Ако разгледате опашката на URL адреса, ще разпознаете: label
, id
и други, те могат да бъдат частично премахнати, стига необходимите обекти да могат да бъдат еднозначно идентифицирани с помощта на получения URL адрес, вж:doc:TLS Apache2 Configuration<apache2-tls> за пример с използване само на id
.