PKCS#11 URL-generering¶
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Forskellige programmer bruger openssl til at håndtere f.eks. TLS-certifikater. Dette koncept gør det for det meste muligt blot at erstatte en fil-sti (for hemmeligheden) med en såkaldt PKCS#11 URL for at bruge en hemmelighed fra f.eks. en Nitrokey.
Forberedelse¶
sikre, at
openssl
er installeretsikre, at
openssl
kan bruge PKCS#11-motoren ved at installerelibengine-pkcs11-openssl
installer
opensc
oggnutls-bin
for de nødvendige værktøjerKontroller, at de nødvendige nøgler og/eller certifikater er tilgængelige på din Nitrokey ved hjælp af
pkcs15-tool -D
hvis du ønsker at bruge ECC-nøgler/mekanismer via
libengine-pkcs11-openssl
, skal du sikre dig, at dens version er mindst 0.4.10
Liste og generering af PKCS#11-URL’er¶
Brug følgende kommando til at få en liste over tilgængelige tokens (Nitrokeys):
p11tool --list-tokens
Vælg den token-URL (Nitrokey-URL), du vil generere URL-tokens til, og brug den på denne måde:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Hvis du undersøger URL-adressens hale, vil du kunne genkende: label
, id
og flere, disse kan delvist fjernes, så længe de nødvendige objekter kan identificeres entydigt ved hjælp af den resulterende URL, se TLS Apache2 Configuration for et eksempel, der kun bruger id<x>
.