Windows KSP και PKCS#11 με PKI Proxy

Αυτό το έγγραφο εξηγεί τη χρήση του PKI Proxy με το NetHSM. Το PKI Proxy επιτρέπει τη χρήση του NetHSM μέσω των εγγενών API των Microsoft Windows. Για το σκοπό αυτό, το PKI Proxy περιλαμβάνει έναν KSP (Key Storage Provider) που επιτρέπει τη χρήση του μέσω της διεπαφής CNG (Cryptography API: Next Generation). Επιπλέον, παρέχει πρόσβαση PKCS#11 στο NetHSM, αλλά αυτό θα πρέπει να χρησιμοποιείται μόνο εάν το απαιτεί η εγκατάστασή σας, για παράδειγμα εάν χρειάζεστε τις πρόσθετες δυνατότητες ελέγχου ταυτότητας του PKI Proxy ή εάν θέλετε να χρησιμοποιήσετε το PKI Proxy ως πύλη για να αποφύγετε την απευθείας έκθεση του NetHSM στους πελάτες. Σε όλες τις άλλες περιπτώσεις χρησιμοποιήστε απευθείας το πρόγραμμα οδήγησης NetHSM PKCS#11.

Η εγκατάσταση του NetHSM με PKI Proxy έχει την εξής μορφή.

Σύνδεση μεταξύ NetHSM και PKI Proxy Server, πελάτη και εκτεθειμένων διεπαφών πελάτη.

Το NetHSM παρέχει το REST API το οποίο χρησιμοποιείται από το πρόγραμμα οδήγησης NetHSM PKCS#11. Το PKI Proxy χρησιμοποιεί αυτό το πρόγραμμα οδήγησης για να συνδεθεί στο NetHSM και να αποκτήσει πρόσβαση στα κλειδιά και τα πιστοποιητικά του. Οι πελάτες του PKI Proxy χρησιμοποιούν το REST API του διακομιστή PKI Proxy για να έχουν πρόσβαση στα κλειδιά και τα πιστοποιητικά. Οι εφαρμογές στον πελάτη μπορούν να χρησιμοποιούν είτε το εγγενές API των Windows είτε ένα πρόγραμμα οδήγησης PKCS#11. Η επικοινωνία μεταξύ του διακομιστή NetHSM και PKI Proxy και των πελατών PKI Proxy είναι κρυπτογραφημένη. Ο διακομιστής PKI Proxy και ο πελάτης μπορούν να εκτελούνται στον ίδιο υπολογιστή.

Πιθανές περιπτώσεις χρήσης αυτής της εγκατάστασης είναι:

  • Code signing

  • Document signing

Πρακτική συμβουλή

Ανατρέξτε επίσης στην επίσημη τεκμηρίωση PKI Proxy για περισσότερες πληροφορίες.

Prerequisits

  • NetHSM (hardware ή containerized) - Provisioned - Η διεύθυνση IP του NetHSM πρέπει να είναι γνωστή και η θύρα HTTPS πρέπει να είναι προσβάσιμη.

  • Μηχανή Windows - Εγκατεστημένο και ρυθμισμένο πρόγραμμα οδήγησης Nitrokey NetHSM PKCS#11 (απαιτείται μόνο στον διακομιστή PKI Proxy Server).

Σημαντικό

Σε ορισμένα μηχανήματα ο διακομιστής PKI Proxy Server μπορεί να καταρρεύσει κατά τη διαδικασία αποφόρτωσης της ενότητας NetHSM PKCS#11. Αυτό είναι ένα σφάλμα σε μια εξάρτηση της ενότητας και εντοπίζεται στο αυτό GitHub issue. Εάν αντιμετωπίσετε αυτό το σφάλμα, παρακαλούμε ορίστε την επιλογή διαμόρφωσης disable_thread_pool σε true στο αρχείο διαμόρφωσης του NetHSM PKCS#11. Παρακαλούμε ανατρέξτε στο παράδειγμα αρχείου διαμόρφωσης για καλύτερη κατανόηση του τρόπου διαμόρφωσης.

PKI Proxy - Διακομιστής

Ο διακομιστής PKI Proxy μοιράζεται τα κλειδιά και τα πιστοποιητικά από ένα NetHSM για διαφορετικούς χρήστες.

Εγκατάσταση

  1. Download the PKI Proxy 2024 installer from the /n software website.

  2. Ανοίξτε το πρόγραμμα εγκατάστασης και ακολουθήστε τον οδηγό εγκατάστασης.

  3. Ανοίξτε το PKI Proxy από το μενού Έναρξη. Εάν το εγκαταστήσατε στην προεπιλεγμένη θέση, μπορείτε επίσης να το εκτελέσετε με την ακόλουθη εντολή από το παράθυρο διαλόγου Εκτέλεση ή το PowerShell.

    C:\Program Files\PKI Proxy 2024\PKIProxy.exe

    Σημείωση

    Το PKI Proxy θα ελαχιστοποιηθεί στο δίσκο του συστήματος, ακόμη και αν το κύριο παράθυρο είναι κλειστό.

Service Configuration

Οι παρακάτω οδηγίες ρυθμίζουν τις παραμέτρους του PKI Proxy.

  1. Open the PKI Proxy main window.

  2. Change to the Settings tab.

  3. Βεβαιωθείτε ότι το πλαίσιο ελέγχου Enable TLS είναι επιλεγμένο και ότι χρησιμοποιείται κατάλληλο πιστοποιητικό.

  4. Change to the Users tab.

  5. Δημιουργήστε έναν νέο χρήστη κάνοντας κλικ στο κουμπί New…. Επιλέξτε έναν τύπο ελέγχου ταυτότητας που υποστηρίζεται από όλους τους πελάτες.

  6. Στη γραμμή μενού του κύριου παραθύρου κάντε κλικ στο κουμπί Έναρξη για να εκκινήσετε την υπηρεσία PKI Proxy.

Publish Certificates from the NetHSM

Στη συνέχεια, ρυθμίζουμε ποια πιστοποιητικά από το NetHSM διατίθενται μέσω του PKI Proxy.

  1. Βεβαιωθείτε ότι το κύριο παράθυρο PKI Proxy είναι ανοικτό.

  2. Change to the Certificates tab.

  3. Κάντε κλικ στο κουμπί New…. Αυτό θα ανοίξει το παράθυρο Share Certificate.

  4. Κάντε κλικ στο κουμπί Select Certificate or Key…, στο πλαίσιο Certificate του παραθύρου. Αυτό θα ανοίξει το παράθυρο Select a Private Key (Επιλογή ιδιωτικού κλειδιού).

  5. Μεταβείτε στην καρτέλα Κλειδί ασφαλείας.

  6. Κάντε κλικ στο κουμπί Αναζήτηση… και επιλέξτε το αρχείο βιβλιοθήκης προγράμματος οδήγησης NetHSM PKCS#11. Στο πεδίο κειμένου PKCS#11 Library εμφανίζεται τώρα η διαδρομή προς το αρχείο βιβλιοθήκης.

  7. Από το αναπτυσσόμενο μενού Κλειδί ασφαλείας (PKCS#11) επιλέξτε την υποδοχή που περιέχει το πιστοποιητικό. Οι αναφερόμενες υποδοχές εξαρτώνται από τη διαμόρφωση της μονάδας PKCS#11.

  8. Click the Open button.

  9. Η λίστα κειμένου κάτω από τη διεύθυνση Certificates εμφανίζει τώρα μια λίστα με τα διαθέσιμα πιστοποιητικά και γενικά κλειδιά στο NetHSM. Επιλέξτε το πιστοποιητικό ή το γενικό κλειδί που θέλετε να μοιραστείτε με τον PKI Proxy.

  10. Κάντε κλικ στο κουμπί OK για να επιβεβαιώσετε την επιλογή. Αυτό θα σας επαναφέρει στο παράθυρο Share Certificate. Το παράθυρο θα εμφανίζει τώρα τις λεπτομέρειες του επιλεγμένου πιστοποιητικού.

  11. Κάντε κλικ στο κουμπί Add…, στο πλαίσιο Access and Permissions του παραθύρου. Αυτό θα ανοίξει το παράθυρο Επιλογή χρήστη.

  12. Επιλέξτε έναν υπάρχοντα χρήστη από το αναπτυσσόμενο μενού ή δημιουργήστε έναν νέο επιλέγοντας Δημιουργία νέου χρήστη…. Κάντε κλικ στο κουμπί OK για να επιβεβαιώσετε την επιλογή. Εάν επιλέξετε να δημιουργήσετε νέο χρήστη, στη συνέχεια θα εμφανιστεί το παράθυρο Νέος χρήστης.

  13. Επιστρέφοντας στο παράθυρο Share Certificate βεβαιωθείτε επίσης ότι επιτρέπονται μόνο οι απαιτούμενες λειτουργίες για το πιστοποιητικό ή το γενικό κλειδί. Αυτό μπορεί να αλλάξει με τα πλαίσια ελέγχου στο κάτω μέρος του πλαισίου Access and Permissions.

  14. Κάντε κλικ στο κουμπί OK για να δημοσιεύσετε το πιστοποιητικό. Αυτό θα σας επαναφέρει στο κύριο παράθυρο του PKI Proxy.

  15. Η λίστα κειμένου κάτω από το Διαχείριση πιστοποιητικών εμφανίζει πλέον το δημοσιευμένο πιστοποιητικό.

Σημαντικό

Βεβαιωθείτε ότι οι μηχανισμοί του κοινόχρηστου κλειδιού στο NetHSM επιτρέπουν την προβλεπόμενη χρήση στο PKI Proxy.

PKI Proxy - Πελάτης

Τα εργαλεία-πελάτες PKI Proxy παρέχουν διαφορετικούς τρόπους πρόσβασης στα κοινά κλειδιά και πιστοποιητικά από έναν διακομιστή PKI Proxy.

Πρακτική συμβουλή

Ο διακομιστής PKI Proxy περιέχει τα εργαλεία πελάτη. Ως εκ τούτου, το μηχάνημα που εκτελεί το διακομιστή μπορεί επίσης να είναι πελάτης για τον εαυτό του.

Εγκατάσταση

  1. Κατεβάστε το PKI Proxy 2024 - Client Tools από την ιστοσελίδα /n software.

  2. Ανοίξτε το πρόγραμμα εγκατάστασης και ακολουθήστε τον οδηγό εγκατάστασης.

KSP (Key Storage Provider)

Το PKI Proxy παρέχει ένα KSP για τη διασύνδεση με το διακομιστή PKI Proxy. Το KSP επιτρέπει τη χρήση εγγενών API των Windows με εφαρμογές, μέσω της διεπαφής CNG (Cryptography API: Next Generation). Ανατρέξτε στην τεκμηρίωση PKI Proxy για περισσότερες πληροφορίες.

PKCS#11

Το PKI Proxy παρέχει μια ενότητα PKCS#11 για τη διασύνδεση με τον διακομιστή PKI Proxy. Ανατρέξτε στην τεκμηρίωση PKI Proxy για περισσότερες πληροφορίες.