PKCS#11 URL-generering

Forskellige programmer bruger openssl til at håndtere f.eks. TLS-certifikater. Dette koncept gør det for det meste muligt blot at erstatte en fil-sti (for hemmeligheden) med en såkaldt PKCS#11 URL for at bruge en hemmelighed fra f.eks. en Nitrokey.

Forberedelse

  • sikre, at openssl er installeret

  • sikre, at openssl kan bruge PKCS#11-motoren ved at installere libengine-pkcs11-openssl

  • installer opensc og gnutls-bin for de nødvendige værktøjer

  • Kontroller, at de nødvendige nøgler og/eller certifikater er tilgængelige på din Nitrokey ved hjælp af pkcs15-tool -D

  • hvis du ønsker at bruge ECC-nøgler/mekanismer via libengine-pkcs11-openssl, skal du sikre dig, at dens version er mindst 0.4.10

Liste og generering af PKCS#11-URL’er

Brug følgende kommando til at få en liste over tilgængelige tokens (Nitrokeys):

p11tool --list-tokens

Vælg den token-URL (Nitrokey-URL), du vil generere URL-tokens til, og brug den på denne måde:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Hvis du undersøger URL-adressens hale, vil du kunne genkende: label, id og flere, disse kan delvist fjernes, så længe de nødvendige objekter kan identificeres entydigt ved hjælp af den resulterende URL, se TLS Apache2 Configuration for et eksempel, der kun bruger id<x>.