Importation de clés et de certificats

En général, le concept pour importer des paires de clés et/ou des certificats est le suivant :

  • Créer un partage DKEK (Device Key Encryption Key)

  • Initialiser le dispositif et activer DKEK comme « Device Encryption Scheme ».

  • Importez le partage DKEK dans l’appareil

  • Importer le(s) conteneur(s) PKCS#12 dans DKEK

Cette documentation ne couvre qu’un cas d’utilisation spécifique et doit servir d’exemple pour le flux de travail global. Pour plus d’informations, veuillez lire ce fil de discussion et ce billet de blog.

Avertissement

Cette procédure réinitialisera votre dispositif Nitrokey HSM 2 et toutes les données qu’il contient seront effacées !

Préparation

  • assurez-vous que toutes les clés que vous souhaitez importer sont disponibles en tant que conteneurs PKCS#12 (.p12) et que vous connaissez le mot de passe, si nécessaire.

  • Assurez-vous que rien n’est nécessaire sur le Nitrokey HSM 2 utilisé, il sera supprimé au cours de cette procédure.

  • Téléchargez la dernière version de « Smart Card Shell » et décompressez-la dans votre répertoire de travail.

Importation via l’interface graphique du SCSH3

Dans le répertoire décompressé, vous trouverez scsh3gui, qui peut être lancé en utilisant bash scsh3gui (pour Windows, double-cliquez sur : scsh3gui.cmd).

Une fois l’outil SCSH3 ouvert, vous devriez voir votre Nitrokey HSM 2 dans l’arborescence. Veuillez suivre les étapes suivantes pour importer :

  • Démarrer le gestionnaire de clés (Fichier -> Gestionnaire de clés)

  • Clic droit sur « Smartcard-HSM » -> créer un partage DKEK

    • Choisissez l’emplacement du fichier

    • Choisissez le mot de passe de partage DKEK

  • Clic droit sur « Smartcard-HSM » -> Initialiser le périphérique

    • Entrez le SO-PIN

    • (facultatif) Entrez le label et entrez l’URL/Host

    • Sélectionnez la méthode d’authentification : « PIN utilisateur »

    • Autoriser le compteur de réinitialisation et de déblocage du PIN : « La réinitialisation et le déblocage du PIN avec SO-PIN ne sont pas autorisés ».

    • Saisir et confirmer le code PIN de l’utilisateur

    • « Sélectionner le schéma de cryptage de la clé du dispositif » -> « parts DKEK ».

    • Entrez le nombre d’actions DKEK : 1

  • Cliquez avec le bouton droit de la souris sur l’installation DKEK en cours -> « Importer le partage DKEK ».

    • Choisissez l’emplacement du fichier de partage DKEK

    • Mot de passe pour le partage DKEK

  • Cliquez avec le bouton droit de la souris sur « SmartCard-HSM » -> « Import from PKCS#12 ».

    • Entrez le nombre d’actions -> 1

    • Entrez l’emplacement du fichier de partage DKEK

    • Entrez le mot de passe pour le partage DKEK

    • Sélectionnez le conteneur PKCS#12 pour l’importation (Entrez le mot de passe, s’il est défini).

    • Touche de sélection

    • Sélectionnez le nom à utiliser (il s’agit de l’étiquette utilisée pour la clé sur le dispositif).

    • Importez d’autres clés, si nécessaire

Une fois que cela est fait, vous pouvez vérifier que les clés ont été importées avec succès en utilisant :

pkcs15-tool -D

Dans la sortie résultante, vous trouverez les clés importées étiquetées par le nom que vous avez choisi précédemment.