Avainten ja varmenteiden tuominen#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Avainparien ja/tai varmenteiden tuonti tapahtuu yleensä seuraavasti:
Luo DKEK (Device Key Encryption Key) -jako.
Alusta laite ja ota DKEK käyttöön ”Device Encryption Scheme”-asetuksena;
Tuo DKEK-jako laitteeseen
Tuo PKCS#12-säiliö(t) DKEK:iin.
Tämä dokumentaatio kattaa vain yhden tietyn käyttötapauksen, ja sen pitäisi toimia esimerkkinä yleisestä työnkulusta. Lisätietoja saat lukemalla tämän viestiketjun ja tämän blogikirjoituksen.
Varoitus
Tämä toimenpide nollaa Nitrokey HSM 2 -laitteesi ja kaikki sen tiedot poistetaan!
Valmistelu#
varmista, että kaikki avaimet, jotka haluat tuoda, ovat saatavilla PKCS#12-kontteina (.p12) ja tiedät tarvittaessa salasanan.
Varmista, että käytetyssä Nitrokey HSM 2:ssa ei ole mitään tarpeellista, sillä se poistetaan tämän toimenpiteen aikana.
lataa uusin Smart Card Shell ja pura se työhakemistoosi.
Tuonti SCSH3:n graafisen käyttöliittymän kautta#
Puretun hakemiston sisältä löytyy scsh3gui
, joka voidaan käynnistää käyttämällä bash scsh3gui
(Windowsissa kaksoisklikkaa: scsh3gui.cmd
).
Kun SCSH3-työkalu on avattu, sinun pitäisi nähdä Nitrokey HSM 2 -laitteesi puunäkymässä. Noudata seuraavia ohjeita tuontia varten:
Käynnistä avainhallinta (Tiedosto -> Avainhallinta)
Napsauta hiiren kakkospainikkeella ”Smartcard-HSM” -> luo DKEK-jako.
Valitse tiedoston sijainti
Valitse DKEK-jakosalasana
Napsauta hiiren kakkospainikkeella ”Smartcard-HSM” -> Alusta laite.
Syötä SO-PIN
(valinnainen) Kirjoita etiketti ja URL/Host-osoite
Valitse todennusmenetelmä: ”User PIN”
Salli RESET RETRY COUNTER: ”PIN-koodin nollaaminen ja vapauttaminen SO-PIN:llä ei sallittu”
Syötä ja vahvista käyttäjän PIN-koodi
”Select Device Key Encryption scheme” -> ”DKEK-osuudet”
Syötä DKEK-osakkeiden lukumäärä: 1
Napsauta hiiren kakkospainikkeella käynnissä olevaa DKEK-asetusta -> ”Tuo DKEK-osio”
Valitse DKEK-jakotiedoston sijainti
DKEK-osuuden salasana
Napsauta hiiren kakkospainikkeella ”SmartCard-HSM” -> ”Tuo PKCS#12:sta”
Syötä osakkeiden lukumäärä -> 1
Syötä DKEK-osion tiedoston sijainti
Syötä DKEK-osuuden salasana
Valitse PKCS#12-säiliö tuontia varten (Syötä salasana, jos se on asetettu).
Valitse näppäin
Valitse käytettävä nimi (Tämä on laitteen näppäimessä käytettävä nimilappu).
Tuo tarvittaessa lisää avaimia
Kun tämä on tehty, voit tarkistaa, että avainten tuonti on onnistunut:
pkcs15-tool -D
Tuloksena syntyvässä tulosteessa näet tuodut avaimet merkittynä aiemmin valitsemallasi nimellä.