Generování adres URL PKCS#11

Různé aplikace používají openssl např. ke zpracování certifikátů TLS. Tento koncept většinou umožňuje jednoduše nahradit cestu k souboru (pro tajný kód) takzvanou PKCS#11 URL a použít tak tajný kód např. z Nitrokey.

Příprava

  • zajistit, aby byl nainstalován openssl.

  • zajistit, aby openssl mohl používat PKCS#11 engine instalací libengine-pkcs11-openssl.

  • nainstalujte opensc a gnutls-bin potřebné nástroje.

  • ověřte, zda jsou potřebné klíče a/nebo certifikáty dostupné na vašem Nitrokey pomocí pkcs15-tool -D.

  • pokud chcete používat klíče/mechanismy ECC prostřednictvím libengine-pkcs11-openssl, musíte zajistit, aby jeho verze byla alespoň 0.4.10.

Seznam a generování adres URL PKCS#11

Následujícím příkazem získáte seznam dostupných tokenů (Nitrokeys):

p11tool --list-tokens

Vyberte adresu URL tokenu (Nitrokey), pro kterou chcete generovat tokeny URL, a použijte ji takto:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Pokud si prohlédnete zadní část adresy URL, poznáte: label, id a další, ty lze částečně odstranit, pokud lze potřebné objekty jednoznačně identifikovat pomocí výsledné adresy URL, viz TLS Apache2 Configuration pro příklad použití id pouze.