Võtmete ja sertifikaatide importimine#

Üldiselt on võtmepaaride ja/või sertifikaatide importimise kontseptsioon järgmine:

  • Loo DKEK (Device Key Encryption Key) aktsia

  • Initsialiseerige seade ja lubage DKEK kui „seadme krüpteerimisskeem“

  • Importida DKEKi aktsia seadmesse

  • PKCS#12 konteineri(de) importimine DKEKi

Käesolev dokumentatsioon hõlmab ainult ühte konkreetset kasutusjuhtumit ja peaks olema üldise töövoo näitena. Lisateabe saamiseks lugege teda teemat ja teda blogipostitust.

Hoiatus

See protseduur nullib teie Nitrokey HSM 2 seadme ja kõik sellel olevad andmed kustutatakse!

Ettevalmistus#

  • veenduge, et kõik võtmed, mida soovite importida, on saadaval PKCS#12 konteineritena (.p12) ja te teate vajaduse korral parooli.

  • veenduge, et kasutatud Nitrokey HSM 2-l ei ole midagi vaja, see kustutatakse selle protseduuri käigus.

  • lae alla uusim Smart Card Shell ja paki see oma töökataloogi lahti.

Importimine SCSH3 GUI kaudu#

Pakkimata kataloogi sees on scsh3gui, mida saab käivitada kasutades bash scsh3gui (Windowsi puhul topeltklõps: scsh3gui.cmd).

Kui SCSH3 Tool on avatud, peaksite nägema Nitrokey HSM 2 puuvaates. Järgige importimiseks järgmisi samme:

  • Võtmehalduri käivitamine (Faili -> Võtmehaldur)

  • Paremklõps „Smartcard-HSM“ -> loo DKEK-jagu

    • Valige faili asukoht

    • Vali DKEKi jagamise parool

  • Paremklõps „Smartcard-HSM“ -> Seadme initsialiseerimine

    • Sisestage SO-PIN

    • (valikuline) Sisestage silt ja sisestage URL/Host

    • Valige autentimismeetod: „Kasutaja PIN-kood“

    • Luba RESET RETRY COUNTER: „PIN-koodi lähtestamine ja vabastamine SO-PINiga ei ole lubatud“

    • Sisestage ja kinnitage kasutaja PIN-kood

    • „Valige seadme võtme krüpteerimisskeem“ -> „DKEK-osad“

    • Sisestage DKEKi aktsiate arv: 1

  • Parempoolne klõps DKEKi käimasoleval seadistamisel -> „Import DKEK share“

    • Vali DKEKi faili jagamise asukoht

    • DKEKi aktsia parool

  • Tehke paremklõps „SmartCard-HSM“ -> „Import from PKCS#12“

    • Sisestage aktsiate arv -> 1

    • Sisestage DKEKi faili asukoht

    • Sisestage DKEKi aktsia parool

    • Valige importimiseks PKCS#12 konteiner (sisestage parool, kui see on määratud)

    • Valige võti

    • Valige kasutatav nimi (See on seadme võtme jaoks kasutatav märgis).

    • Vajaduse korral importida rohkem võtmeid

Kui see on tehtud, saate kontrollida, et võtmed on edukalt imporditud, kasutades:

pkcs15-tool -D

Saadud väljundis leiate imporditud võtmed, mis on märgistatud eelnevalt valitud nimega.