PKCS#11 URL-osoitteen luominen#

Useat sovellukset käyttävät openssl:ää esimerkiksi TLS-varmenteiden käsittelyyn. Tämä konsepti mahdollistaa useimmiten sen, että tiedostopolku (salaisuutta varten) voidaan yksinkertaisesti korvata niin sanotulla PKCS#11-URL-osoitteella, jotta voidaan käyttää esimerkiksi Nitrokey-ohjelmasta saatavaa salaisuutta.

Valmistelu#

  • varmista, että openssl on asennettu.

  • varmistaa, että openssl voi käyttää PKCS#11-moottoria asentamalla libengine-pkcs11-openssl.

  • asenna opensc ja gnutls-bin tarvittavat työkalut.

  • tarkista, että tarvittavat avaimet ja/tai varmenteet ovat saatavilla Nitrokey-avaimessasi käyttämällä pkcs15-tool -D`.

  • jos haluat käyttää ECC-avaimia/-mekanismeja libengine-pkcs11-openssl:n kautta, sinun on varmistettava, että sen versio on vähintään 0.4.10.

PKCS#11 URL-osoitteiden luettelointi ja luominen#

Käytä seuraavaa komentoa saadaksesi luettelon käytettävissä olevista tunnisteista (Nitrokeys):

p11tool --list-tokens

Valitse tunnisteen (Nitrokey) URL-osoite, jolle haluat luoda URL-tunnisteet, ja käytä sitä näin:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Jos tarkastelet URL-osoitteen häntää, tunnistat: label, idid ja paljon muuta, nämä voidaan osittain poistaa, kunhan tarvittavat kohteet voidaan yksilöidä yksiselitteisesti tuloksena saatavan URL-osoitteen avulla, katso TLS Apache2 Configuration esimerkin, jossa käytetään vain id.