Importación de claves y certificados#

(Nitrokey HSM 2 - Windows)

Generalmente el concepto para importar pares de claves y/o certificados es el siguiente:

  • Crear una acción DKEK (Clave de encriptación de la llave del dispositivo)

  • Inicialice el dispositivo y habilite DKEK como «Esquema de cifrado del dispositivo»«;

  • Importar la cuota de DKEK en el dispositivo

  • Importar contenedor(es) PKCS#12 a DKEK

Esta documentación cubre sólo un caso de uso específico y debería servir como ejemplo para el flujo de trabajo general. Para más información, por favor lea este hilo y esta entrada de blog.

Advertencia

Este procedimiento restablecerá su dispositivo Nitrokey HSM 2 y se borrarán todos los datos que contenga.

Preparación#

  • asegúrese de que todas las claves que desea importar están disponibles como contenedores PKCS#12 (.p12) y que conoce la contraseña, si es necesario

  • asegúrese de que no necesita nada en el Nitrokey HSM 2 utilizado, ya que se borrará durante este procedimiento

  • descargue la última versión de Smart Card Shell y descomprímala en su directorio de trabajo

Importación a través de la GUI de SCSH3#

Dentro del directorio desempaquetado se encuentra scsh3gui, que se puede iniciar con bash scsh3gui (para windows haga doble clic en: scsh3gui.cmd).

Una vez abierta la herramienta SCSH3, debería ver su Nitrokey HSM 2 dentro de la vista de árbol. Por favor, siga estos pasos para importar:

  • Iniciar el gestor de llaves (File -> Keymanager)

  • Haga clic con el botón derecho del ratón en «Smartcard-HSM» -> crear una acción DKEK

    • Elija la ubicación del archivo

    • Elija la contraseña de la cuota de DKEK

  • Haga clic con el botón derecho del ratón en «Smartcard-HSM» -> Inicializar dispositivo

    • Introduzca el SO-PIN

    • (opcional) Introduzca la etiqueta y la URL/Host

    • Seleccione el método de autenticación: «PIN de usuario»

    • Permitir RESET RETRY COUNTER: «Restablecer y desbloquear el PIN con SO-PIN no está permitido»

    • Introducir y confirmar el PIN de usuario

    • «Seleccione el esquema de encriptación de la clave del dispositivo» -> «Acciones DKEK»;

    • Introduzca el número de acciones de DKEK: 1

  • Haga clic con el botón derecho del ratón en la configuración de DKEK en curso -> «Importar cuota de DKEK»

    • Elija la ubicación del archivo compartido DKEK

    • Contraseña de la acción DKEK

  • Haga clic con el botón derecho en «SmartCard-HSM» -> «Importar desde PKCS#12»

    • Introduzca el número de acciones -> 1

    • Introduzca la ubicación del archivo DKEK compartido

    • Introduzca la contraseña de la acción DKEK

    • Seleccione el contenedor PKCS#12 para la importación (introduzca la contraseña, si está establecida)

    • Seleccione la tecla

    • Seleccione el nombre a utilizar (Es la etiqueta que se utiliza para la llave en el dispositivo)

    • Importar más llaves, si es necesario

Una vez hecho esto, puede comprobar que las claves se han importado con éxito utilizando:

pkcs15-tool -D

En la salida resultante encontrará las claves importadas etiquetadas con el nombre que eligió anteriormente.