Kulcsok és tanúsítványok importálása#
Általában a kulcspárok és/vagy tanúsítványok importálása a következőképpen történik:
DKEK (Device Key Encryption Key - Eszközkulcs titkosítási kulcs) megosztás létrehozása
Inicializálja az eszközt, és engedélyezze a DKEK-et mint „Device Encryption Scheme”;
DKEK-megosztás importálása a készülékbe
PKCS#12 konténer(ek) importálása a DKEK-be
Ez a dokumentáció csak egy konkrét felhasználási esetre vonatkozik, és a teljes munkafolyamat példájaként szolgál. További információkért olvassa el ezt a témát és ezt a blogbejegyzést.
Figyelem
Ez az eljárás visszaállítja a Nitrokey HSM 2 készüléket, és minden adat törlődik rajta!
Előkészítés#
győződjön meg róla, hogy az összes importálni kívánt kulcs elérhető PKCS#12 konténerként (.p12), és ha szükséges, ismeri a jelszót is.
győződjön meg róla, hogy a használt Nitrokey HSM 2-n nincs szükség semmire, az eljárás során törlődik.
töltse le a legújabb Smart Card Shell programot és csomagolja ki a munka könyvtárába.
Importálás az SCSH3 felhasználói felületen keresztül#
A kicsomagolt könyvtárban található a scsh3gui
, amelyet a bash scsh3gui
segítségével lehet elindítani (Windows esetén dupla kattintás a: scsh3gui.cmd
).
Ha az SCSH3 eszköz meg van nyitva, a Nitrokey HSM 2-t a fa nézetben kell látnia. Kérjük, kövesse az alábbi lépéseket az importáláshoz:
Kulcskezelő indítása (Fájl -> Kulcskezelő)
Kattintson a jobb gombbal a „Smartcard-HSM” -> DKEK-megosztás létrehozása
Válassza ki a fájl helyét
Válassza ki a DKEK megosztási jelszót
Kattintson a jobb gombbal a „Smartcard-HSM” -> Eszköz inicializálása
SO-PIN megadása
(opcionális) Adja meg a címkét és adja meg az URL/Host címet.
Válassza ki a hitelesítési módszert: „Felhasználói PIN-kód”
Engedélyezze a RESET RETRY COUNTER-t: „A PIN kód visszaállítása és feloldása SO-PIN-nel nem megengedett”
Adja meg és erősítse meg a felhasználói PIN-kódot
„Select Device Key Encryption scheme” -> „DKEK részvények”
Adja meg a DKEK részvények számát: 1
Kattintson a jobb gombbal a DKEK folyamatban lévő beállítására -> „DKEK-megosztás importálása”
Válassza ki a DKEK megosztási fájl helyét
Jelszó a DKEK-megosztáshoz
Kattintson a jobb gombbal a „SmartCard-HSM” -> „Importálás PKCS#12-ből”
Adja meg a részvények számát -> 1
Adja meg a DKEK-megosztás fájljának helyét
Jelszó megadása a DKEK-megosztáshoz
Válassza ki az importálandó PKCS#12 konténert (Adja meg a jelszót, ha be van állítva)
Kulcs kiválasztása
Válassza ki a használni kívánt nevet (Ez a kulcshoz használt címke a készüléken).
További kulcsok importálása, ha szükséges
Ha ez megtörtént, ellenőrizheti, hogy a kulcsok sikeresen importálódtak-e a következőkkel:
pkcs15-tool -D
Az így kapott kimeneten az importált kulcsokat a korábban kiválasztott névvel címkézve találja.