Παραγωγή URL PKCS#11

Διάφορες εφαρμογές χρησιμοποιούν το openssl για να χειρίζονται π.χ. πιστοποιητικά TLS. Αυτή η έννοια επιτρέπει κυρίως την απλή αντικατάσταση ενός αρχείου-μονοπατιού (για το μυστικό) με ένα λεγόμενο PKCS#11 URL για τη χρήση ενός μυστικού από ένα π.χ. Nitrokey.

Προετοιμασία

  • βεβαιωθείτε ότι έχει εγκατασταθεί το openssl.

  • εξασφαλίστε ότι openssl μπορεί να χρησιμοποιήσει τη μηχανή PKCS#11 εγκαθιστώντας libengine-pkcs11-openssl

  • εγκαταστήστε opensc και gnutls-bin για τα απαραίτητα εργαλεία.

  • επαληθεύστε ότι τα απαραίτητα κλειδιά ή/και πιστοποιητικά είναι διαθέσιμα στο Nitrokey σας χρησιμοποιώντας pkcs15-tool -D

  • αν θέλετε να χρησιμοποιήσετε κλειδιά/μηχανισμούς ECC μέσω libengine-pkcs11-openssl, θα πρέπει να βεβαιωθείτε ότι η έκδοση του είναι τουλάχιστον 0.4.10.

Λίστα και δημιουργία διευθύνσεων URL PKCS#11

Χρησιμοποιήστε την ακόλουθη εντολή για να λάβετε μια λίστα με τα διαθέσιμα tokens (Nitrokeys):

p11tool --list-tokens

Επιλέξτε τη διεύθυνση URL του token (Nitrokey) για την οποία θέλετε να δημιουργήσετε token URL και χρησιμοποιήστε την ως εξής:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Αν επιθεωρήσετε την ουρά της διεύθυνσης URL θα αναγνωρίσετε: label, id και άλλα, αυτά μπορούν να αφαιρεθούν εν μέρει εφόσον τα απαραίτητα αντικείμενα μπορούν να αναγνωριστούν μοναδικά χρησιμοποιώντας το URL που προκύπτει, βλ:doc:TLS Apache2 Configuration<apache2-tls> για ένα παράδειγμα που χρησιμοποιεί μόνο id.