Import klíčů a certifikátů#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Obecně je koncept importu párů klíčů a/nebo certifikátů následující:
Vytvoření sdílené složky DKEK (Device Key Encryption Key)
Inicializujte zařízení a povolte DKEK jako „Device Encryption Scheme“
Import sdílené složky DKEK do zařízení
Import kontejneru(ů) PKCS#12 do DKEK
Tato dokumentace se týká pouze jednoho konkrétního případu použití a měla by sloužit jako příklad celkového pracovního postupu. Další informace naleznete v tomto vlákně a tomto příspěvku na blogu.
Varování
Tímto postupem se zařízení Nitrokey HSM 2 resetuje a všechna data v něm budou vymazána!
Příprava#
ujistěte se, že všechny klíče, které chcete importovat, jsou k dispozici jako kontejnery PKCS#12 (.p12), a v případě potřeby znáte heslo.
ujistěte se, že na použitém Nitrokey HSM 2 není nic potřeba, během tohoto postupu bude smazáno.
stáhněte si nejnovější verzi Smart Card Shell a rozbalte ji do pracovního adresáře.
Import přes grafické uživatelské rozhraní SCSH3#
Uvnitř rozbaleného adresáře najdete scsh3gui
, který lze spustit pomocí bash scsh3gui
(pro Windows dvakrát klikněte na: scsh3gui.cmd
).
Po otevření nástroje SCSH3 byste měli ve stromovém zobrazení vidět svůj Nitrokey HSM 2. Při importu postupujte podle následujících kroků:
Spustit správce klíčů (File -> Keymanager)
Klikněte pravým tlačítkem myši na „Smartcard-HSM“ -> vytvořit sdílení DKEK
Výběr umístění souboru
Zvolte heslo sdílení DKEK
Klikněte pravým tlačítkem myši na „Smartcard-HSM“ -> Inicializovat zařízení
Zadejte SO-PIN
(nepovinné) Zadejte štítek a zadejte adresu URL/Host
Vyberte metodu ověřování: „Uživatelský PIN“
Povolit RESET RETRY COUNTER: „Resetování a odblokování PINu pomocí SO-PINu není povoleno“
Zadání a potvrzení uživatelského kódu PIN
„Vyberte schéma šifrování klíčů zařízení“ -> „DKEK shares“
Zadejte počet akcií DKEK: 1
Klikněte pravým tlačítkem myši na probíhající nastavení DKEK -> „Importovat sdílení DKEK“
Zvolte umístění sdíleného souboru DKEK
Heslo pro sdílení DKEK
Klikněte pravým tlačítkem myši na „SmartCard-HSM“ -> „Importovat z PKCS#12“
Zadejte počet akcií -> 1
Zadejte umístění souboru sdílené složky DKEK
Zadejte heslo pro sdílení DKEK
Vyberte kontejner PKCS#12 pro import (zadejte heslo, je-li nastaveno)
Vybrat klíč
Vyberte název, který se má použít (jedná se o označení použité pro klíč v zařízení).
V případě potřeby importujte další klíče
Po dokončení můžete zkontrolovat, zda byly klíče úspěšně importovány pomocí:
pkcs15-tool -D
Ve výsledném výstupu naleznete importované klíče označené názvem, který jste předtím zvolili.