Avainten ja varmenteiden tuominen#

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Avainparien ja/tai varmenteiden tuonti tapahtuu yleensä seuraavasti:

  • Luo DKEK (Device Key Encryption Key) -jako.

  • Alusta laite ja ota DKEK käyttöön ”Device Encryption Scheme”-asetuksena;

  • Tuo DKEK-jako laitteeseen

  • Tuo PKCS#12-säiliö(t) DKEK:iin.

Tämä dokumentaatio kattaa vain yhden tietyn käyttötapauksen, ja sen pitäisi toimia esimerkkinä yleisestä työnkulusta. Lisätietoja saat lukemalla tämän viestiketjun ja tämän blogikirjoituksen.

Varoitus

Tämä toimenpide nollaa Nitrokey HSM 2 -laitteesi ja kaikki sen tiedot poistetaan!

Valmistelu#

  • varmista, että kaikki avaimet, jotka haluat tuoda, ovat saatavilla PKCS#12-kontteina (.p12) ja tiedät tarvittaessa salasanan.

  • Varmista, että käytetyssä Nitrokey HSM 2:ssa ei ole mitään tarpeellista, sillä se poistetaan tämän toimenpiteen aikana.

  • lataa uusin Smart Card Shell ja pura se työhakemistoosi.

Tuonti SCSH3:n graafisen käyttöliittymän kautta#

Puretun hakemiston sisältä löytyy scsh3gui, joka voidaan käynnistää käyttämällä bash scsh3gui (Windowsissa kaksoisklikkaa: scsh3gui.cmd).

Kun SCSH3-työkalu on avattu, sinun pitäisi nähdä Nitrokey HSM 2 -laitteesi puunäkymässä. Noudata seuraavia ohjeita tuontia varten:

  • Käynnistä avainhallinta (Tiedosto -> Avainhallinta)

  • Napsauta hiiren kakkospainikkeella ”Smartcard-HSM” -> luo DKEK-jako.

    • Valitse tiedoston sijainti

    • Valitse DKEK-jakosalasana

  • Napsauta hiiren kakkospainikkeella ”Smartcard-HSM” -> Alusta laite.

    • Syötä SO-PIN

    • (valinnainen) Kirjoita etiketti ja URL/Host-osoite

    • Valitse todennusmenetelmä: ”User PIN”

    • Salli RESET RETRY COUNTER: ”PIN-koodin nollaaminen ja vapauttaminen SO-PIN:llä ei sallittu”

    • Syötä ja vahvista käyttäjän PIN-koodi

    • ”Select Device Key Encryption scheme” -> ”DKEK-osuudet”

    • Syötä DKEK-osakkeiden lukumäärä: 1

  • Napsauta hiiren kakkospainikkeella käynnissä olevaa DKEK-asetusta -> ”Tuo DKEK-osio”

    • Valitse DKEK-jakotiedoston sijainti

    • DKEK-osuuden salasana

  • Napsauta hiiren kakkospainikkeella ”SmartCard-HSM” -> ”Tuo PKCS#12:sta”

    • Syötä osakkeiden lukumäärä -> 1

    • Syötä DKEK-osion tiedoston sijainti

    • Syötä DKEK-osuuden salasana

    • Valitse PKCS#12-säiliö tuontia varten (Syötä salasana, jos se on asetettu).

    • Valitse näppäin

    • Valitse käytettävä nimi (Tämä on laitteen näppäimessä käytettävä nimilappu).

    • Tuo tarvittaessa lisää avaimia

Kun tämä on tehty, voit tarkistaa, että avainten tuonti on onnistunut:

pkcs15-tool -D

Tuloksena syntyvässä tulosteessa näet tuodut avaimet merkittynä aiemmin valitsemallasi nimellä.