Generování adres URL PKCS#11¶
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Různé aplikace používají openssl např. ke zpracování certifikátů TLS. Tento koncept většinou umožňuje jednoduše nahradit cestu k souboru (pro tajný kód) takzvanou PKCS#11 URL a použít tak tajný kód např. z Nitrokey.
Příprava¶
zajistit, aby byl nainstalován
openssl
.zajistit, aby
openssl
mohl používat PKCS#11 engine instalacílibengine-pkcs11-openssl
.
nainstalujte
opensc
agnutls-bin
potřebné nástroje.ověřte, zda jsou potřebné klíče a/nebo certifikáty dostupné na vašem Nitrokey pomocí
pkcs15-tool -D
.pokud chcete používat klíče/mechanismy ECC prostřednictvím
libengine-pkcs11-openssl
, musíte zajistit, aby jeho verze byla alespoň 0.4.10.
Seznam a generování adres URL PKCS#11¶
Následujícím příkazem získáte seznam dostupných tokenů (Nitrokeys):
p11tool --list-tokens
Vyberte adresu URL tokenu (Nitrokey), pro kterou chcete generovat tokeny URL, a použijte ji takto:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Pokud si prohlédnete zadní část adresy URL, poznáte: label
, id
a další, ty lze částečně odstranit, pokud lze potřebné objekty jednoznačně identifikovat pomocí výsledné adresy URL, viz TLS Apache2 Configuration pro příklad použití id
pouze.