Importieren von Schlüsseln und Zertifikaten#

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Generell ist das Konzept zum Importieren von Schlüsselpaaren und/oder Zertifikaten wie folgt:

  • Erstellen Sie eine DKEK-Freigabe (Device Key Encryption Key)

  • Gerät initialisieren und DKEK als „Device Encryption Scheme“ aktivieren

  • DKEK-Freigabe in Gerät importieren

  • Importieren von PKCS#12-Container(n) in DKEK

Diese Dokumentation deckt nur einen speziellen Anwendungsfall ab und soll als Beispiel für den gesamten Arbeitsablauf dienen. Für weitere Informationen lesen Sie bitte diesen Thread und diesen Blogbeitrag.

Warnung

Durch diesen Vorgang wird Ihr Nitrokey HSM 2 Gerät zurückgesetzt und alle darauf befindlichen Daten werden gelöscht!

Vorbereitung#

  • Stellen Sie sicher, dass alle Schlüssel, die Sie importieren möchten, als PKCS#12-Container (.p12) vorliegen und Sie das Passwort kennen, falls erforderlich

  • stellen Sie sicher, dass nichts auf dem verwendeten Nitrokey HSM 2 benötigt wird, es wird bei diesem Vorgang gelöscht

  • Laden Sie die neueste Smart Card Shell herunter und entpacken Sie sie in Ihr Arbeitsverzeichnis

Importieren über die SCSH3-GUI#

Im entpackten Verzeichnis finden Sie scsh3gui, das mit bash scsh3gui gestartet werden kann (für Windows Doppelklick auf: scsh3gui.cmd).

Sobald das SCSH3-Tool geöffnet ist, sollten Sie Ihr Nitrokey HSM 2 in der Baumansicht sehen. Bitte folgen Sie diesen Schritten zum Importieren:

  • Key-Manager starten (Datei -> Keymanager)

  • Rechtsklick auf „Smartcard-HSM“ -> DKEK-Freigabe erstellen

    • Speicherort der Datei wählen

    • DKEK-Freigabepasswort wählen

  • Rechtsklick auf „Smartcard-HSM“ -> Gerät initialisieren

    • SO-PIN eingeben

    • (optional) Beschriftung eingeben und URL/Host eingeben

    • Authentifizierungsmethode auswählen: „Benutzer-PIN“

    • RESET RETRY COUNTER zulassen: „Rücksetzen und Entsperren der PIN mit SO-PIN nicht erlaubt“

    • Benutzer-PIN eingeben und bestätigen

    • „Geräteschlüssel-Verschlüsselungsschema wählen“ -> „DKEK-Aktien“

    • Anzahl der DKEK-Aktien eingeben: 1

  • Rechtsklick auf laufende DKEK-Einrichtung -> „DKEK-Freigabe importieren“

    • Speicherort der DKEK-Freigabedatei wählen

    • Passwort für DKEK-Freigabe

  • Rechtsklick auf „SmartCard-HSM“ -> „Import aus PKCS#12“

    • Anzahl der Anteile eingeben -> 1

    • Dateispeicherort der DKEK-Freigabe eingeben

    • Passwort für DKEK-Freigabe eingeben

    • PKCS#12-Container für den Import auswählen (Passwort eingeben, falls gesetzt)

    • Taste wählen

    • Wählen Sie den zu verwendenden Namen (Dies ist die Bezeichnung, die für die Taste auf dem Gerät verwendet wird)

    • Weitere Tasten importieren, falls erforderlich

Sobald dies geschehen ist, können Sie mit überprüfen, ob die Schlüssel erfolgreich importiert wurden:

pkcs15-tool -D

In der resultierenden Ausgabe finden Sie die importierten Schlüssel mit dem Namen beschriftet, den Sie zuvor gewählt haben.