Importieren von Schlüsseln und Zertifikaten#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Generell ist das Konzept zum Importieren von Schlüsselpaaren und/oder Zertifikaten wie folgt:
Erstellen Sie eine DKEK-Freigabe (Device Key Encryption Key)
Gerät initialisieren und DKEK als „Device Encryption Scheme“ aktivieren
DKEK-Freigabe in Gerät importieren
Importieren von PKCS#12-Container(n) in DKEK
Diese Dokumentation deckt nur einen speziellen Anwendungsfall ab und soll als Beispiel für den gesamten Arbeitsablauf dienen. Für weitere Informationen lesen Sie bitte diesen Thread und diesen Blogbeitrag.
Warnung
Durch diesen Vorgang wird Ihr Nitrokey HSM 2 Gerät zurückgesetzt und alle darauf befindlichen Daten werden gelöscht!
Vorbereitung#
Stellen Sie sicher, dass alle Schlüssel, die Sie importieren möchten, als PKCS#12-Container (.p12) vorliegen und Sie das Passwort kennen, falls erforderlich
stellen Sie sicher, dass nichts auf dem verwendeten Nitrokey HSM 2 benötigt wird, es wird bei diesem Vorgang gelöscht
Laden Sie die neueste Smart Card Shell herunter und entpacken Sie sie in Ihr Arbeitsverzeichnis
Importieren über die SCSH3-GUI#
Im entpackten Verzeichnis finden Sie scsh3gui
, das mit bash scsh3gui
gestartet werden kann (für Windows Doppelklick auf: scsh3gui.cmd
).
Sobald das SCSH3-Tool geöffnet ist, sollten Sie Ihr Nitrokey HSM 2 in der Baumansicht sehen. Bitte folgen Sie diesen Schritten zum Importieren:
Key-Manager starten (Datei -> Keymanager)
Rechtsklick auf „Smartcard-HSM“ -> DKEK-Freigabe erstellen
Speicherort der Datei wählen
DKEK-Freigabepasswort wählen
Rechtsklick auf „Smartcard-HSM“ -> Gerät initialisieren
SO-PIN eingeben
(optional) Beschriftung eingeben und URL/Host eingeben
Authentifizierungsmethode auswählen: „Benutzer-PIN“
RESET RETRY COUNTER zulassen: „Rücksetzen und Entsperren der PIN mit SO-PIN nicht erlaubt“
Benutzer-PIN eingeben und bestätigen
„Geräteschlüssel-Verschlüsselungsschema wählen“ -> „DKEK-Aktien“
Anzahl der DKEK-Aktien eingeben: 1
Rechtsklick auf laufende DKEK-Einrichtung -> „DKEK-Freigabe importieren“
Speicherort der DKEK-Freigabedatei wählen
Passwort für DKEK-Freigabe
Rechtsklick auf „SmartCard-HSM“ -> „Import aus PKCS#12“
Anzahl der Anteile eingeben -> 1
Dateispeicherort der DKEK-Freigabe eingeben
Passwort für DKEK-Freigabe eingeben
PKCS#12-Container für den Import auswählen (Passwort eingeben, falls gesetzt)
Taste wählen
Wählen Sie den zu verwendenden Namen (Dies ist die Bezeichnung, die für die Taste auf dem Gerät verwendet wird)
Weitere Tasten importieren, falls erforderlich
Sobald dies geschehen ist, können Sie mit überprüfen, ob die Schlüssel erfolgreich importiert wurden:
pkcs15-tool -D
In der resultierenden Ausgabe finden Sie die importierten Schlüssel mit dem Namen beschriftet, den Sie zuvor gewählt haben.