Import klíčů a certifikátů#

Obecně je koncept importu párů klíčů a/nebo certifikátů následující:

 • Vytvoření sdílené složky DKEK (Device Key Encryption Key)

 • Inicializujte zařízení a povolte DKEK jako „Device Encryption Scheme“

 • Import sdílené složky DKEK do zařízení

 • Import kontejneru(ů) PKCS#12 do DKEK

Tato dokumentace se týká pouze jednoho konkrétního případu použití a měla by sloužit jako příklad celkového pracovního postupu. Další informace naleznete v tomto vlákně a tomto příspěvku na blogu.

Varování

Tímto postupem se zařízení Nitrokey HSM 2 resetuje a všechna data v něm budou vymazána!

Příprava#

 • ujistěte se, že všechny klíče, které chcete importovat, jsou k dispozici jako kontejnery PKCS#12 (.p12), a v případě potřeby znáte heslo.

 • ujistěte se, že na použitém Nitrokey HSM 2 není nic potřeba, během tohoto postupu bude smazáno.

 • stáhněte si nejnovější verzi Smart Card Shell a rozbalte ji do pracovního adresáře.

Import přes grafické uživatelské rozhraní SCSH3#

Uvnitř rozbaleného adresáře najdete scsh3gui, který lze spustit pomocí bash scsh3gui (pro Windows dvakrát klikněte na: scsh3gui.cmd).

Po otevření nástroje SCSH3 byste měli ve stromovém zobrazení vidět svůj Nitrokey HSM 2. Při importu postupujte podle následujících kroků:

 • Spustit správce klíčů (File -> Keymanager)

 • Klikněte pravým tlačítkem myši na „Smartcard-HSM“ -> vytvořit sdílení DKEK

  • Výběr umístění souboru

  • Zvolte heslo sdílení DKEK

 • Klikněte pravým tlačítkem myši na „Smartcard-HSM“ -> Inicializovat zařízení

  • Zadejte SO-PIN

  • (nepovinné) Zadejte štítek a zadejte adresu URL/Host

  • Vyberte metodu ověřování: „Uživatelský PIN“

  • Povolit RESET RETRY COUNTER: „Resetování a odblokování PINu pomocí SO-PINu není povoleno“

  • Zadání a potvrzení uživatelského kódu PIN

  • „Vyberte schéma šifrování klíčů zařízení“ -> „DKEK shares“

  • Zadejte počet akcií DKEK: 1

 • Klikněte pravým tlačítkem myši na probíhající nastavení DKEK -> „Importovat sdílení DKEK“

  • Zvolte umístění sdíleného souboru DKEK

  • Heslo pro sdílení DKEK

 • Klikněte pravým tlačítkem myši na „SmartCard-HSM“ -> „Importovat z PKCS#12“

  • Zadejte počet akcií -> 1

  • Zadejte umístění souboru sdílené složky DKEK

  • Zadejte heslo pro sdílení DKEK

  • Vyberte kontejner PKCS#12 pro import (zadejte heslo, je-li nastaveno)

  • Vybrat klíč

  • Vyberte název, který se má použít (jedná se o označení použité pro klíč v zařízení).

  • V případě potřeby importujte další klíče

Po dokončení můžete zkontrolovat, zda byly klíče úspěšně importovány pomocí:

pkcs15-tool -D

Ve výsledném výstupu naleznete importované klíče označené názvem, který jste předtím zvolili.