Importation de clés et de certificats#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
En général, le concept pour importer des paires de clés et/ou des certificats est le suivant :
Créer un partage DKEK (Device Key Encryption Key)
Initialiser le dispositif et activer DKEK comme « Device Encryption Scheme ».
Importez le partage DKEK dans l’appareil
Importer le(s) conteneur(s) PKCS#12 dans DKEK
Cette documentation ne couvre qu’un cas d’utilisation spécifique et doit servir d’exemple pour le flux de travail global. Pour plus d’informations, veuillez lire ce fil de discussion et ce billet de blog.
Avertissement
Cette procédure réinitialisera votre dispositif Nitrokey HSM 2 et toutes les données qu’il contient seront effacées !
Préparation#
assurez-vous que toutes les clés que vous souhaitez importer sont disponibles en tant que conteneurs PKCS#12 (.p12) et que vous connaissez le mot de passe, si nécessaire.
Assurez-vous que rien n’est nécessaire sur le Nitrokey HSM 2 utilisé, il sera supprimé au cours de cette procédure.
Téléchargez la dernière version de « Smart Card Shell » et décompressez-la dans votre répertoire de travail.
Importation via l’interface graphique du SCSH3#
Dans le répertoire décompressé, vous trouverez scsh3gui
, qui peut être lancé en utilisant bash scsh3gui
(pour Windows, double-cliquez sur : scsh3gui.cmd
).
Une fois l’outil SCSH3 ouvert, vous devriez voir votre Nitrokey HSM 2 dans l’arborescence. Veuillez suivre les étapes suivantes pour importer :
Démarrer le gestionnaire de clés (Fichier -> Gestionnaire de clés)
Clic droit sur « Smartcard-HSM » -> créer un partage DKEK
Choisissez l’emplacement du fichier
Choisissez le mot de passe de partage DKEK
Clic droit sur « Smartcard-HSM » -> Initialiser le périphérique
Entrez le SO-PIN
(facultatif) Entrez le label et entrez l’URL/Host
Sélectionnez la méthode d’authentification : « PIN utilisateur »
Autoriser le compteur de réinitialisation et de déblocage du PIN : « La réinitialisation et le déblocage du PIN avec SO-PIN ne sont pas autorisés ».
Saisir et confirmer le code PIN de l’utilisateur
« Sélectionner le schéma de cryptage de la clé du dispositif » -> « parts DKEK ».
Entrez le nombre d’actions DKEK : 1
Cliquez avec le bouton droit de la souris sur l’installation DKEK en cours -> « Importer le partage DKEK ».
Choisissez l’emplacement du fichier de partage DKEK
Mot de passe pour le partage DKEK
Cliquez avec le bouton droit de la souris sur « SmartCard-HSM » -> « Import from PKCS#12 ».
Entrez le nombre d’actions -> 1
Entrez l’emplacement du fichier de partage DKEK
Entrez le mot de passe pour le partage DKEK
Sélectionnez le conteneur PKCS#12 pour l’importation (Entrez le mot de passe, s’il est défini).
Touche de sélection
Sélectionnez le nom à utiliser (il s’agit de l’étiquette utilisée pour la clé sur le dispositif).
Importez d’autres clés, si nécessaire
Une fois que cela est fait, vous pouvez vérifier que les clés ont été importées avec succès en utilisant :
pkcs15-tool -D
Dans la sortie résultante, vous trouverez les clés importées étiquetées par le nom que vous avez choisi précédemment.