Importación de claves y certificados#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Generalmente el concepto para importar pares de claves y/o certificados es el siguiente:
Crear una acción DKEK (Clave de encriptación de la llave del dispositivo)
Inicialice el dispositivo y habilite DKEK como «Esquema de cifrado del dispositivo»»;
Importar la cuota de DKEK en el dispositivo
Importar contenedor(es) PKCS#12 a DKEK
Esta documentación cubre sólo un caso de uso específico y debería servir como ejemplo para el flujo de trabajo general. Para más información, por favor lea este hilo y esta entrada de blog.
Advertencia
Este procedimiento restablecerá su dispositivo Nitrokey HSM 2 y se borrarán todos los datos que contenga.
Preparación#
asegúrese de que todas las claves que desea importar están disponibles como contenedores PKCS#12 (.p12) y que conoce la contraseña, si es necesario
asegúrese de que no necesita nada en el Nitrokey HSM 2 utilizado, ya que se borrará durante este procedimiento
descargue la última versión de Smart Card Shell y descomprímala en su directorio de trabajo
Importación a través de la GUI de SCSH3#
Dentro del directorio desempaquetado se encuentra scsh3gui
, que se puede iniciar con bash scsh3gui
(para windows haga doble clic en: scsh3gui.cmd
).
Una vez abierta la herramienta SCSH3, debería ver su Nitrokey HSM 2 dentro de la vista de árbol. Por favor, siga estos pasos para importar:
Iniciar el gestor de llaves (File -> Keymanager)
Haga clic con el botón derecho del ratón en «Smartcard-HSM» -> crear una acción DKEK
Elija la ubicación del archivo
Elija la contraseña de la cuota de DKEK
Haga clic con el botón derecho del ratón en «Smartcard-HSM» -> Inicializar dispositivo
Introduzca el SO-PIN
(opcional) Introduzca la etiqueta y la URL/Host
Seleccione el método de autenticación: «PIN de usuario»
Permitir RESET RETRY COUNTER: «Restablecer y desbloquear el PIN con SO-PIN no está permitido»
Introducir y confirmar el PIN de usuario
«Seleccione el esquema de encriptación de la clave del dispositivo» -> «Acciones DKEK»;
Introduzca el número de acciones de DKEK: 1
Haga clic con el botón derecho del ratón en la configuración de DKEK en curso -> «Importar cuota de DKEK»
Elija la ubicación del archivo compartido DKEK
Contraseña de la acción DKEK
Haga clic con el botón derecho en «SmartCard-HSM» -> «Importar desde PKCS#12»
Introduzca el número de acciones -> 1
Introduzca la ubicación del archivo DKEK compartido
Introduzca la contraseña de la acción DKEK
Seleccione el contenedor PKCS#12 para la importación (introduzca la contraseña, si está establecida)
Seleccione la tecla
Seleccione el nombre a utilizar (Es la etiqueta que se utiliza para la llave en el dispositivo)
Importar más llaves, si es necesario
Una vez hecho esto, puede comprobar que las claves se han importado con éxito utilizando:
pkcs15-tool -D
En la salida resultante encontrará las claves importadas etiquetadas con el nombre que eligió anteriormente.