Generación de URL PKCS#11#

Varias aplicaciones utilizan openssl para manejar, por ejemplo, certificados TLS. Este concepto permite simplemente reemplazar una ruta de archivo (para el secreto) con una llamada PKCS#11 URL para usar un secreto de, por ejemplo, Nitrokey.

Preparación#

  • asegúrese de que openssl está instalado

  • garantizar que openssl pueda utilizar el motor PKCS#11 instalando libengine-pkcs11-openssl.

  • instalar opensc y gnutls-bin para las herramientas necesarias.

  • verifique que sus claves y/o certificados necesarios están disponibles en su Nitrokey utilizando pkcs15-tool -D

  • si quieres usar claves/mecanismos ECC a través de libengine-pkcs11-openssl, tendrás que asegurarte de que su versión es al menos 0.4.10

Listar y generar URLs PKCS#11#

Utilice el siguiente comando para obtener una lista de fichas disponibles (Nitrokeys):

p11tool --list-tokens

Elija la URL del token (Nitrokey) para la que desea generar tokens de URL y utilícela así:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Si inspecciona la cola de la URL reconocerá: label, id y más, estos pueden ser parcialmente eliminados siempre y cuando los objetos necesarios puedan ser identificados de forma única usando la URL resultante, ver TLS Apache2 Configuration para un ejemplo usando id solamente.