Nitrokey Documentation

Génération d’URL PKCS#11¶

Compatible Nitrokeys

Diverses applications utilisent openssl pour gérer, par exemple, les certificats TLS. Ce concept permet de remplacer simplement un chemin de fichier (pour le secret) par une URL PKCS#11 pour utiliser un secret provenant par exemple de Nitrokey.

Préparation ¶

s’assurer que openssl est installé
Assurez-vous que openssl peut utiliser le moteur PKCS#11 en installant libengine-pkcs11-openssl.

Installez « opensc » et « gnutls-bin » pour les outils nécessaires.
vérifiez que vos clés et/ou certificats nécessaires sont disponibles sur votre Nitrokey en utilisant « pkcs15-tool -D ».
si vous voulez utiliser des clés/mécanismes ECC via libengine-pkcs11-openssl, vous devrez vous assurer que sa version est au moins 0.4.10

Lister et générer des URLs PKCS#11 ¶

Utilisez la commande suivante pour obtenir une liste des jetons disponibles (Nitrokeys) :

p11tool --list-tokens

Choisissez l’URL du jeton (Nitrokey) pour lequel vous voulez générer des jetons d’URL et utilisez-le comme ceci :

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Si vous inspectez la queue de l’URL, vous reconnaîtrez : label, id et plus, ceux-ci peuvent être partiellement supprimés tant que les objets nécessaires peuvent être identifiés de manière unique en utilisant l’URL résultante, voir TLS Apache2 Configuration pour un exemple utilisant uniquement id.