Génération d’URL PKCS#11

Diverses applications utilisent openssl pour gérer, par exemple, les certificats TLS. Ce concept permet de remplacer simplement un chemin de fichier (pour le secret) par une URL PKCS#11 pour utiliser un secret provenant par exemple de Nitrokey.

Préparation

  • s’assurer que openssl est installé

  • Assurez-vous que openssl peut utiliser le moteur PKCS#11 en installant libengine-pkcs11-openssl.

  • Installez « opensc » et « gnutls-bin » pour les outils nécessaires.

  • vérifiez que vos clés et/ou certificats nécessaires sont disponibles sur votre Nitrokey en utilisant « pkcs15-tool -D ».

  • si vous voulez utiliser des clés/mécanismes ECC via libengine-pkcs11-openssl, vous devrez vous assurer que sa version est au moins 0.4.10

Lister et générer des URLs PKCS#11

Utilisez la commande suivante pour obtenir une liste des jetons disponibles (Nitrokeys) :

p11tool --list-tokens

Choisissez l’URL du jeton (Nitrokey) pour lequel vous voulez générer des jetons d’URL et utilisez-le comme ceci :

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Si vous inspectez la queue de l’URL, vous reconnaîtrez : label, id et plus, ceux-ci peuvent être partiellement supprimés tant que les objets nécessaires peuvent être identifiés de manière unique en utilisant l’URL résultante, voir TLS Apache2 Configuration pour un exemple utilisant uniquement id.