Εισαγωγή κλειδιών και πιστοποιητικών#

Γενικά, η έννοια της εισαγωγής ζευγών κλειδιών ή/και πιστοποιητικών είναι η εξής:

  • Δημιουργήστε μια κοινή χρήση DKEK (Device Key Encryption Key)

  • Αρχικοποιήστε τη συσκευή και ενεργοποιήστε το DKEK ως «Σχήμα κρυπτογράφησης συσκευής»,

  • Εισαγωγή μεριδίου DKEK στη συσκευή

  • Εισαγωγή εμπορευματοκιβωτίων PKCS#12 στο DKEK

Η παρούσα τεκμηρίωση καλύπτει μόνο μία συγκεκριμένη περίπτωση χρήσης και θα πρέπει να χρησιμεύσει ως παράδειγμα για τη συνολική ροή εργασιών. Για περισσότερες πληροφορίες διαβάστε αυτό το νήμα και αυτό το άρθρο στο ιστολόγιο.

Προειδοποίηση

Αυτή η διαδικασία θα επαναφέρει τη συσκευή Nitrokey HSM 2 και όλα τα δεδομένα της θα διαγραφούν!

Προετοιμασία#

  • βεβαιωθείτε ότι όλα τα κλειδιά που θέλετε να εισαγάγετε είναι διαθέσιμα ως δοχεία PKCS#12 (.p12) και γνωρίζετε τον κωδικό πρόσβασης, αν χρειάζεται

  • βεβαιωθείτε ότι τίποτα από το χρησιμοποιημένο Nitrokey HSM 2 δεν είναι απαραίτητο, καθώς θα διαγραφεί κατά τη διάρκεια αυτής της διαδικασίας.

  • κατεβάστε το τελευταίο Smart Card Shell και αποσυμπιέστε το στον κατάλογο εργασίας σας.

Εισαγωγή μέσω του GUI του SCSH3#

Μέσα στον αποσυμπιεσμένο κατάλογο θα βρείτε το scsh3gui, το οποίο μπορεί να ξεκινήσει χρησιμοποιώντας το bash scsh3gui (για τα Windows κάντε διπλό κλικ στο: scsh3gui.cmd).

Μόλις ανοίξει το εργαλείο SCSH3 Tool, θα πρέπει να δείτε το Nitrokey HSM 2 μέσα στην προβολή δέντρου. Ακολουθήστε τα παρακάτω βήματα για την εισαγωγή:

  • Έναρξη του διαχειριστή κλειδιών (Αρχείο -> Διαχειριστής κλειδιών)

  • Δεξί κλικ «Smartcard-HSM» -> δημιουργία κοινής χρήσης DKEK

    • Επιλέξτε τη θέση του αρχείου

    • Επιλέξτε τον κωδικό πρόσβασης κοινής χρήσης DKEK

  • Δεξί κλικ «Smartcard-HSM» -> Αρχικοποίηση συσκευής

    • Πληκτρολογήστε SO-PIN

    • (προαιρετικό) Εισάγετε ετικέτα και εισάγετε URL/Host

    • Επιλέξτε μέθοδο ελέγχου ταυτότητας: «PIN χρήστη»,

    • Επιτρέψτε RESET RETRY COUNTER: «Δεν επιτρέπεται η επαναφορά και η αποδέσμευση του PIN με SO-PIN»,

    • Εισάγετε και επιβεβαιώστε το PIN χρήστη

    • «Επιλογή σχήματος κρυπτογράφησης κλειδιού συσκευής» -> «Μερίδια DKEK»,

    • Πληκτρολογήστε τον αριθμό των μετοχών DKEK: 1

  • Δεξί κλικ στην επιλογή DKEK set-up in progress -> «Εισαγωγή DKEK share»,

    • Επιλέξτε τη θέση του αρχείου κοινής χρήσης DKEK

    • Κωδικός πρόσβασης για το μερίδιο DKEK

  • Κάντε δεξί κλικ στο «SmartCard-HSM» -> «Εισαγωγή από PKCS#12»,

    • Πληκτρολογήστε τον αριθμό των μετοχών -> 1

    • Εισάγετε τη θέση του αρχείου της μερίδας DKEK

    • Εισάγετε κωδικό πρόσβασης για το μερίδιο DKEK

    • Επιλέξτε το δοχείο PKCS#12 για εισαγωγή (Εισάγετε τον κωδικό πρόσβασης, εάν έχει οριστεί)

    • Επιλέξτε το πλήκτρο

    • Επιλέξτε το όνομα που θα χρησιμοποιηθεί (Αυτή είναι η ετικέτα που χρησιμοποιείται για το πλήκτρο στη συσκευή).

    • Εισαγωγή περισσότερων κλειδιών, εάν χρειάζεται

Αφού γίνει αυτό, μπορείτε να ελέγξετε ότι τα κλειδιά έχουν εισαχθεί επιτυχώς χρησιμοποιώντας:

pkcs15-tool -D

Στην έξοδο που θα προκύψει θα βρείτε τα εισαγόμενα κλειδιά επισημασμένα με το όνομα που επιλέξατε προηγουμένως.