Import klíčů a certifikátů#

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Obecně je koncept importu párů klíčů a/nebo certifikátů následující:

  • Vytvoření sdílené složky DKEK (Device Key Encryption Key)

  • Inicializujte zařízení a povolte DKEK jako „Device Encryption Scheme“

  • Import sdílené složky DKEK do zařízení

  • Import kontejneru(ů) PKCS#12 do DKEK

Tato dokumentace se týká pouze jednoho konkrétního případu použití a měla by sloužit jako příklad celkového pracovního postupu. Další informace naleznete v tomto vlákně a tomto příspěvku na blogu.

Varování

Tímto postupem se zařízení Nitrokey HSM 2 resetuje a všechna data v něm budou vymazána!

Příprava#

  • ujistěte se, že všechny klíče, které chcete importovat, jsou k dispozici jako kontejnery PKCS#12 (.p12), a v případě potřeby znáte heslo.

  • ujistěte se, že na použitém Nitrokey HSM 2 není nic potřeba, během tohoto postupu bude smazáno.

  • stáhněte si nejnovější verzi Smart Card Shell a rozbalte ji do pracovního adresáře.

Import přes grafické uživatelské rozhraní SCSH3#

Uvnitř rozbaleného adresáře najdete scsh3gui, který lze spustit pomocí bash scsh3gui (pro Windows dvakrát klikněte na: scsh3gui.cmd).

Po otevření nástroje SCSH3 byste měli ve stromovém zobrazení vidět svůj Nitrokey HSM 2. Při importu postupujte podle následujících kroků:

  • Spustit správce klíčů (File -> Keymanager)

  • Klikněte pravým tlačítkem myši na „Smartcard-HSM“ -> vytvořit sdílení DKEK

    • Výběr umístění souboru

    • Zvolte heslo sdílení DKEK

  • Klikněte pravým tlačítkem myši na „Smartcard-HSM“ -> Inicializovat zařízení

    • Zadejte SO-PIN

    • (nepovinné) Zadejte štítek a zadejte adresu URL/Host

    • Vyberte metodu ověřování: „Uživatelský PIN“

    • Povolit RESET RETRY COUNTER: „Resetování a odblokování PINu pomocí SO-PINu není povoleno“

    • Zadání a potvrzení uživatelského kódu PIN

    • „Vyberte schéma šifrování klíčů zařízení“ -> „DKEK shares“

    • Zadejte počet akcií DKEK: 1

  • Klikněte pravým tlačítkem myši na probíhající nastavení DKEK -> „Importovat sdílení DKEK“

    • Zvolte umístění sdíleného souboru DKEK

    • Heslo pro sdílení DKEK

  • Klikněte pravým tlačítkem myši na „SmartCard-HSM“ -> „Importovat z PKCS#12“

    • Zadejte počet akcií -> 1

    • Zadejte umístění souboru sdílené složky DKEK

    • Zadejte heslo pro sdílení DKEK

    • Vyberte kontejner PKCS#12 pro import (zadejte heslo, je-li nastaveno)

    • Vybrat klíč

    • Vyberte název, který se má použít (jedná se o označení použité pro klíč v zařízení).

    • V případě potřeby importujte další klíče

Po dokončení můžete zkontrolovat, zda byly klíče úspěšně importovány pomocí:

pkcs15-tool -D

Ve výsledném výstupu naleznete importované klíče označené názvem, který jste předtím zvolili.