Génération d’URL PKCS#11#
Diverses applications utilisent openssl pour gérer, par exemple, les certificats TLS. Ce concept permet de remplacer simplement un chemin de fichier (pour le secret) par une URL PKCS#11 pour utiliser un secret provenant par exemple de Nitrokey.
Préparation#
s’assurer que
opensslest installéAssurez-vous que
opensslpeut utiliser le moteur PKCS#11 en installantlibengine-pkcs11-openssl.
Installez « opensc » et « gnutls-bin » pour les outils nécessaires.
vérifiez que vos clés et/ou certificats nécessaires sont disponibles sur votre Nitrokey en utilisant « pkcs15-tool -D ».
si vous voulez utiliser des clés/mécanismes ECC via
libengine-pkcs11-openssl, vous devrez vous assurer que sa version est au moins 0.4.10
Lister et générer des URLs PKCS#11#
Utilisez la commande suivante pour obtenir une liste des jetons disponibles (Nitrokeys) :
p11tool --list-tokens
Choisissez l’URL du jeton (Nitrokey) pour lequel vous voulez générer des jetons d’URL et utilisez-le comme ceci :
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Si vous inspectez la queue de l’URL, vous reconnaîtrez : label, id et plus, ceux-ci peuvent être partiellement supprimés tant que les objets nécessaires peuvent être identifiés de manière unique en utilisant l’URL résultante, voir TLS Apache2 Configuration pour un exemple utilisant uniquement id.