Windows KSP ja PKCS#11 koos PKI Proxyga

Selles dokumendis selgitatakse PKI Proxy kasutamist koos NetHSMiga. PKI Proxy võimaldab NetHSMi kasutamist Microsoft Windowsi APIde kaudu. Selleks sisaldab PKI Proxy KSP (Key Storage Provider), mis võimaldab selle kasutamist CNG (Cryptography API: Next Generation) liidese kaudu. Lisaks pakub see PKCS#11 juurdepääsu NetHSMile, kuid seda tuleks kasutada ainult siis, kui teie seadistus seda nõuab, näiteks kui te vajate PKI Proxy täiendavaid autentimisfunktsioone või soovite kasutada PKI Proxy’t väravana, et vältida NetHSMi otsest kokkupuudet klientidega. Kõikidel muudel juhtudel kasutage otse NetHSM PKCS#11 draiverit.

NetHSM-i kasutuselevõtt koos PKI Proxyga näeb välja järgmiselt.

Ühendus NetHSMi ja PKI Proxy Serveri, kliendi ja avatud kliendiliideste vahel.

NetHSM pakub REST API-d, mida kasutab NetHSM PKCS#11 draiver. PKI Proxy kasutab seda draiverit, et luua ühendus NetHSMiga ja pääseda ligi selle võtmetele ja sertifikaatidele. PKI Proxy kliendid kasutavad PKI Proxy serveri REST APId, et pääseda ligi võtmetele ja sertifikaatidele. Kliendirakendused võivad kasutada kas Windowsi algupärast APId või PKCS#11 draiverit. NetHSMi ja PKI Proxy serveri ning PKI Proxy klientide vaheline side on krüpteeritud. PKI Proxy serverit ja klienti võib käivitada samas arvutis.

Selle seadistuse võimalikud kasutusjuhud on järgmised:

  • Code signing

  • Document signing

Nõuanne

Lisateavet leiate ka ametlikust PKI Proxy dokumentatsioonist.

Prerequisits

  • NetHSM (riistvara või konteiner) - Provisioned - NetHSMi IP-aadress peab olema teada ja HTTPS-port peab olema juurdepääsetav.

  • Windowsi masin - Nitrokey NetHSM PKCS#11 draiver paigaldatud ja konfigureeritud (nõutav ainult PKI Proxy Server’i puhul).

Tähtis

Mõnel masinal võib PKI Proxy Server NetHSM PKCS#11 mooduli tühjendamise ajal kokku kukkuda. See on viga mooduli sõltuvuses ja seda on jälgitud see GitHub issue. Kui teil tekib see viga, siis seadistage disable_thread_pool konfiguratsioonivalikuks true oma NetHSM PKCS#11 konfiguratsioonifailis. Palun vaadake näite konfiguratsioonifaili, et paremini mõista, kuidas seda konfigureerida.

PKI Proxy - Server

PKI Proxy server jagab NetHSMi võtmeid ja sertifikaate erinevate kasutajate jaoks.

Paigaldamine

  1. Download the PKI Proxy 2024 installer from the /n software website.

  2. Avage paigaldusprogramm ja järgige paigaldusviisardi juhiseid.

  3. Avage PKI Proxy menüüst Start. Kui installite selle vaikimisi asukohta, saate seda käivitada ka järgmise käsuga dialoogist Run või PowerShellist.

    C:\Program Files\PKI Proxy 2024\PKIProxy.exe

    Märkus

    PKI Proxy minimeerub süsteemisalve, isegi kui põhiaken on suletud.

Service Configuration

Allpool toodud juhised konfigureerivad PKI Proxy.

  1. Open the PKI Proxy main window.

  2. Change to the Settings tab.

  3. Veenduge, et märkeruut Enable TLS on märgitud ja et kasutatakse sobivat sertifikaati.

  4. Change to the Users tab.

  5. Looge uus kasutaja, klõpsates nupul New…. Valige autentimistüüp, mida toetavad kõik kliendid.

  6. PKI Proxy teenuse käivitamiseks klõpsake peamise akna menüüribal nupul Start.

Publish Certificates from the NetHSM

Järgnevalt konfigureerime, millised NetHSMi sertifikaadid tehakse PKI Proxy kaudu kättesaadavaks.

  1. Veenduge, et PKI Proxy põhiaken on avatud.

  2. Change to the Certificates tab.

  3. Klõpsake nupul New…. See avab akna Share Certificate.

  4. Klõpsake akna sertifikaadi raamistikus nupul Select Certificate or Key…. See avab akna Select a Private Key.

  5. Vahetage vahekaart Turvalisusvõti.

  6. Klõpsake nuppu Browse… ja valige NetHSM PKCS#11 draiveri raamatukogu fail. Tekstiväljal PKCS#11 Library kuvatakse nüüd raamatukogu faili tee.

  7. Valige rippmenüüst Security Key (PKCS#11) sertifikaati sisaldav pesa. Loetletud teenindusajad sõltuvad teie PKCS#11-mooduli konfiguratsioonist.

  8. Click the Open button.

  9. Tekstiloetelus aadressil Sertifikaadid on nüüd loetelu NetHSMi olemasolevatest sertifikaatidest ja üldvõtmetest. Valige sertifikaat või üldvõti, mida soovite PKI Proxyga jagada.

  10. Valiku kinnitamiseks klõpsake nuppu OK. See toob teid tagasi aknasse Share Certificate. Aknas kuvatakse nüüd valitud sertifikaadi üksikasjad.

  11. Klõpsake akna Access and Permissions raamistikus nupule Add…. See avab akna Select user.

  12. Valige rippmenüüst olemasolev kasutaja või looge uus kasutaja, valides Create New User…. Valiku kinnitamiseks klõpsake nuppu OK. Kui valite uue kasutaja loomise, kuvatakse seejärel aken New User.

  13. Tagasi aknas Share Certificate veenduge ka, et lubate ainult sertifikaadi või üldvõtme jaoks vajalikke toiminguid. Seda saab muuta raami Access and Permissions allosas olevate märkeruutudega.

  14. Sertifikaadi avaldamiseks klõpsake nuppu OK. See toob teid tagasi PKI Proxy põhiaknasse.

  15. Tekstiloendil Certificate Management on nüüd avaldatud sertifikaat.

Tähtis

Veenduge, et NetHSMi jagatud võtme mehhanismid võimaldavad PKI Proxy-s ettenähtud kasutamist.

PKI Proxy - klient

PKI Proxy klienditööriistad pakuvad erinevaid võimalusi PKI Proxy serveri jagatud võtmetele ja sertifikaatidele juurdepääsuks.

Nõuanne

PKI Proxy server sisaldab klienditööriistu. Seega võib masin, millel server töötab, olla ka iseendale kliendiks.

Paigaldamine

  1. Lae alla PKI Proxy 2024 - Client Tools tarkvara veebilehelt /n.

  2. Avage paigaldusprogramm ja järgige paigaldusviisardi juhiseid.

KSP (Key Storage Provider)

PKI Proxy pakub KSP-d PKI Proxy serveriga liidestamiseks. KSP võimaldab CNG (Cryptography API: Next Generation) liidese kaudu kasutada Windowsi algupäraseid APIsid koos rakendustega. Lisateavet leiate PKI Proxy dokumentatsioonist.

PKCS#11

PKI Proxy pakub PKCS#11 moodulit PKI Proxy serveriga liidestamiseks. Lisateavet leiate PKI Proxy dokumentatsioonist.