Windows KSP ja PKCS#11 PKI Proxy -palvelun kanssa¶

Tässä asiakirjassa selitetään PKI-välityspalvelimen käyttö NetHSM:n kanssa. PKI Proxy mahdollistaa NetHSM:n käytön Microsoft Windowsin natiivien sovellusliittymien kautta. Tätä tarkoitusta varten PKI Proxy sisältää KSP:n (Key Storage Provider), joka mahdollistaa sen käytön CNG-rajapinnan (Cryptography API: Next Generation) kautta. Lisäksi se tarjoaa PKCS#11-yhteyden NetHSM:ään, mutta tätä tulisi käyttää vain, jos asetuksesi edellyttää sitä, esimerkiksi jos tarvitset PKI Proxyn lisätodennusominaisuuksia tai jos haluat käyttää PKI Proxya yhdyskäytävänä välttyäksesi paljastamasta NetHSM:ää suoraan asiakkaille. Kaikissa muissa tapauksissa käytä suoraan NetHSM PKCS#11 -ajuria.

NetHSM:n käyttöönotto PKI Proxyn kanssa näyttää seuraavalta.

NetHSM:n ja PKI Proxy Serverin välinen yhteys, asiakas ja avoimet asiakasrajapinnat.

NetHSM tarjoaa REST API:n, jota NetHSM PKCS#11 -ajuri käyttää. PKI Proxy käyttää tätä ohjainta yhteyden muodostamiseen NetHSM:ään ja sen avainten ja varmenteiden käyttämiseen. PKI-välityspalvelimen asiakkaat käyttävät PKI-välityspalvelimen REST API:ta avainten ja varmenteiden käyttämiseen. Asiakassovellukset voivat käyttää joko Windows-käyttöliittymää tai PKCS#11-ajuria. NetHSM- ja PKI-välityspalvelimen sekä PKI-välityspalvelimen asiakkaiden välinen viestintä on salattua. PKI Proxy -palvelin ja -asiakasohjelma voidaan suorittaa samassa tietokoneessa.

Mahdollisia käyttötapauksia tälle asetukselle ovat:

Code signing
Document signing

Vihje

Lisätietoja on myös virallisessa PKI Proxy -dokumentaatiossa.

Prerequisits¶

NetHSM (laitteisto tai kontti) - Provisioned - NetHSM:n IP-osoitteen on oltava tiedossa, ja HTTPS-portin on oltava tavoitettavissa.
Windows-kone - Nitrokey NetHSM PKCS#11 -ajuri asennettu ja määritetty (tarvitaan vain PKI-välityspalvelimessa).

Tärkeä

Joillakin koneilla PKI Proxy Server voi kaatua NetHSM PKCS#11 -moduulin purkamisen aikana. Kyseessä on moduulin riippuvuussuhteessa oleva vika, jota seurataan osoitteessa tämä GitHub-ongelma. Jos havaitset tämän vian, aseta disable_thread_pool -asetukseksi true NetHSM PKCS#11 -määritystiedostossa. Tutustu esimerkkikonfiguraatiotiedostoon ymmärtääksesi paremmin, miten konfigurointi tehdään.

PKI Proxy - palvelin¶

PKI-välityspalvelin jakaa NetHSM:n avaimet ja varmenteet eri käyttäjille.

Asennus¶

Download the PKI Proxy 2024 installer from the /n software website.
Avaa asennusohjelma ja noudata ohjatun asennuksen ohjeita.
Avaa PKI Proxy Käynnistä-valikosta. Jos olet asentanut sen oletussijaintiin, voit ajaa sen myös seuraavalla komennolla Suorita -valintaikkunasta tai PowerShellistä.
```
C:\Program Files\PKI Proxy 2024\PKIProxy.exe
```
Muista

PKI Proxy minimoituu järjestelmän lokeroon, vaikka pääikkuna olisi suljettu.

Service Configuration¶

Alla olevissa ohjeissa määritetään PKI-välityspalvelimen asetukset.

Open the PKI Proxy main window.
Change to the Settings tab.
Varmista, että valintaruutu Enable TLS on valittuna ja että käytössä on asianmukainen varmenne.
Change to the Users tab.
Luo uusi käyttäjä napsauttamalla New… -painiketta. Valitse todennustyyppi, jota kaikki asiakkaat tukevat.
Käynnistä PKI-välityspalvelu napsauttamalla pääikkunan valikkorivillä Käynnistä -painiketta.

Publish Certificates from the NetHSM¶

Seuraavassa määritetään, mitkä NetHSM:n varmenteet asetetaan saataville PKI-välityspalvelimen kautta.

Varmista, että PKI-välityspalvelimen pääikkuna on auki.
Change to the Certificates tab.
Napsauta New… -painiketta. Tämä avaa Share Certificate -ikkunan.
Napsauta Valitse varmenne tai avain… -painiketta Varmenne -ikkunan kehyksessä. Tämä avaa Select a Private Key -ikkunan.
Siirry Security Key -välilehdelle.
Napsauta Browse… -painiketta ja valitse NetHSM PKCS#11 -ajurikirjastotiedosto. Tekstikentässä PKCS#11 Library näkyy nyt kirjastotiedoston polku.
Valitse avattavasta valikosta Security Key (PKCS#11) se paikka, joka sisältää varmenteen. Luetellut paikat riippuvat PKCS#11-moduulin kokoonpanosta.
Click the Open button.
Varmenteet alla oleva tekstiluettelo näyttää nyt luettelon NetHSM:ssä käytettävissä olevista varmenteista ja yleisavaimista. Valitse varmenne tai yleisavain, jonka haluat jakaa PKI-välityspalvelimen kanssa.
Vahvista valinta napsauttamalla OK -painiketta. Näin pääset takaisin Osakekirjatodistus -ikkunaan. Ikkunassa näkyvät nyt valitun varmenteen tiedot.
Napsauta Add… -painiketta Access and Permissions -ikkunan kehyksessä. Tämä avaa Valitse käyttäjä -ikkunan.
Valitse olemassa oleva käyttäjä pudotusvalikosta tai luo uusi käyttäjä valitsemalla Create New User…. Vahvista valinta klikkaamalla OK -painiketta. Jos valitset uuden käyttäjän luomisen, näyttöön tulee tämän jälkeen New User -ikkuna.
Takaisin Share Certificate -ikkunassa varmista myös, että sallit vain varmenteelle tai yleisavaimelle tarvittavat toiminnot. Tätä voidaan muuttaa Access and Permissions (Pääsy ja käyttöoikeudet) -ruudun alareunassa olevilla valintaruuduilla.
Julkaise varmenne napsauttamalla OK -painiketta. Näin pääset takaisin PKI Proxy -ohjelman pääikkunaan.
Varmenteiden hallinta alla olevassa tekstiluettelossa näkyy nyt julkaistu varmenne.

Tärkeä

Varmista, että NetHSM:n jaetun avaimen mekanismit mahdollistavat aiotun käytön PKI-välityspalvelimessa.

PKI Proxy - Asiakas¶

PKI-välityspalvelimen asiakastyökalut tarjoavat erilaisia tapoja käyttää PKI-välityspalvelimen jaettuja avaimia ja varmenteita.

Vihje

PKI-välityspalvelin sisältää asiakastyökalut. Näin ollen palvelinta käyttävä kone voi olla myös itse asiakas.

Asennus¶

Lataa PKI Proxy 2024 - Client Tools osoitteesta /n ohjelmistosivustolta.
Avaa asennusohjelma ja noudata ohjatun asennuksen ohjeita.

KSP (Key Storage Provider)¶

PKI-välityspalvelin tarjoaa KSP:n PKI-välityspalvelimen käyttöliittymää varten. KSP mahdollistaa natiivien Windows API:iden käytön sovelluksissa CNG (Cryptography API: Next Generation) -rajapinnan kautta. Lisätietoja on PKI Proxy -dokumentaatiossa.

PKCS#11¶

PKI Proxy tarjoaa PKCS#11-moduulin PKI Proxy -palvelimen kanssa. Lisätietoja on PKI Proxy -dokumentaatiossa.