Генериране на URL адреси PKCS#11

Различни приложения използват openssl, за да обработват например TLS сертификати. Тази концепция най-вече позволява просто да се замени файловият път (за тайната) с така наречения PKCS#11 URL, за да се използва тайна от например Nitrokey.

Подготовка

  • гарантира, че openssl е инсталиран

  • гарантира, че openssl може да използва механизма PKCS#11, като инсталира libengine-pkcs11-openssl.

  • инсталиране на opensc и gnutls-bin за необходимите инструменти

  • проверете дали необходимите ви ключове и/или сертификати са налични във вашия Nitrokey, като използвате pkcs15-tool -D

  • ако искате да използвате ECC ключове/механизми чрез libengine-pkcs11-openssl, ще трябва да се уверите, че версията му е поне 0.4.10

Изготвяне на списък и генериране на PKCS#11 URL адреси

Използвайте следната команда, за да получите списък с наличните токени (Nitrokeys):

p11tool --list-tokens

Изберете URL адреса на токена (Nitrokey), за който искате да генерирате URL токени, и го използвайте по следния начин:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Ако разгледате опашката на URL адреса, ще разпознаете: label, id и други, те могат да бъдат частично премахнати, стига необходимите обекти да могат да бъдат еднозначно идентифицирани с помощта на получения URL адрес, вж:doc:TLS Apache2 Configuration<apache2-tls> за пример с използване само на id.