Nitrokey Documentation

Генериране на URL адреси PKCS#11#

Nitrokey 3	Nitrokey Passkey	Nitrokey FIDO2	Nitrokey U2F	Nitrokey HSM 2	Nitrokey Pro 2	Nitrokey Start	Nitrokey Storage 2
⨯	⨯	⨯	⨯	✓	⨯	⨯	⨯

Различни приложения използват openssl, за да обработват например TLS сертификати. Тази концепция най-вече позволява просто да се замени файловият път (за тайната) с така наречения PKCS#11 URL, за да се използва тайна от например Nitrokey.

Подготовка #

гарантира, че openssl е инсталиран
гарантира, че openssl може да използва механизма PKCS#11, като инсталира libengine-pkcs11-openssl.

инсталиране на opensc и gnutls-bin за необходимите инструменти
проверете дали необходимите ви ключове и/или сертификати са налични във вашия Nitrokey, като използвате pkcs15-tool -D
ако искате да използвате ECC ключове/механизми чрез libengine-pkcs11-openssl, ще трябва да се уверите, че версията му е поне 0.4.10

Изготвяне на списък и генериране на PKCS#11 URL адреси #

Използвайте следната команда, за да получите списък с наличните токени (Nitrokeys):

p11tool --list-tokens

Изберете URL адреса на токена (Nitrokey), за който искате да генерирате URL токени, и го използвайте по следния начин:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Ако разгледате опашката на URL адреса, ще разпознаете: label, id и други, те могат да бъдат частично премахнати, стига необходимите обекти да могат да бъдат еднозначно идентифицирани с помощта на получения URL адрес, вж:doc:TLS Apache2 Configuration<apache2-tls> за пример с използване само на id.