Import af nøgler og certifikater#

(Nitrokey HSM 2 - macOS)

Generelt er konceptet for import af nøglepar og/eller certifikater som følger:

  • Opret en DKEK-andel (Enhedsnøgle-krypteringsnøgle)

  • Initialiser enheden, og aktiver DKEK som »Enhedskrypteringsordning«

  • Importere DKEK-aktie til enheden

  • Import af PKCS#12-beholder(e) til DKEK

Denne dokumentation dækker kun en specifik brugssituation og skal tjene som eksempel for den overordnede arbejdsgang. For yderligere oplysninger kan du læse denne tråd og detne blogindlæg.

Advarsel

Denne procedure nulstiller din Nitrokey HSM 2-enhed, og alle data på den bliver slettet!

Forberedelse#

  • Sørg for, at alle de nøgler, du ønsker at importere, er tilgængelige som PKCS#12-containere (.p12), og at du kender adgangskoden, hvis det er nødvendigt.

  • Sørg for, at der ikke er behov for noget på den brugte Nitrokey HSM 2, da det vil blive slettet under denne procedure.

  • download den nyeste Smart Card Shell og pak den ud i din arbejdsmappe

Import via SCSH3 GUI#

Inde i den udpakkede mappe finder du scsh3gui, som kan startes ved hjælp af bash scsh3gui (for Windows dobbeltklik på: scsh3gui.cmd<x>).

Når SCSH3-værktøjet er åbnet, skal du se din Nitrokey HSM 2 i trævisningen. Følg venligst disse trin for at importere:

  • Start key-manager (Fil -> Keymanager)

  • Højreklik på »Smartcard-HSM« -&> opret DKEK-aktie

    • Vælg filplacering

    • Vælg DKEK-adgangskode til deling

  • Højreklik på »Smartcard-HSM« -&> Initialisér enhed

    • Indtast SO-PIN

    • (valgfrit) Indtast label og indtast URL/Host

    • Vælg godkendelsesmetode: »Bruger-PIN«

    • Tillad RESET RETRY COUNTER: »Nulstilling og frigørelse af PIN-kode med SO-PIN ikke tilladt«

    • Indtast og bekræft bruger-PIN-koden

    • »Vælg enhedsnøglekrypteringsordning« -> »DKEK-aktier«

    • Indtast antallet af DKEK-aktier: 1

  • Højreklik på DKEK-opsætning i gang -&> »Importer DKEK-aktie«

    • Vælg placering af DKEK-aktiefilen

    • Adgangskode til DKEK-aktie

  • Højreklik på »SmartCard-HSM« -&> »Import fra PKCS#12«

    • Indtast antal aktier -> 1

    • Indtast filplacering af DKEK-aktien

    • Indtast adgangskode for DKEK-aktie

    • Vælg PKCS#12-beholder til import (Indtast adgangskode, hvis den er indstillet)

    • Vælg nøgle

    • Vælg det navn, der skal bruges (dette er det mærke, der bruges til nøglen på enheden)

    • Importer flere nøgler, hvis det er nødvendigt

Når dette er gjort, kan du kontrollere, at nøglerne er blevet importeret med succes ved hjælp af:

pkcs15-tool -D

I det resulterende output vil du finde de importerede nøgler mærket med det navn, du valgte tidligere.