Kulcsok és tanúsítványok importálása

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

inactive

inactive

active

inactive

inactive

inactive

inactive

inactive

Általában a kulcspárok és/vagy tanúsítványok importálása a következőképpen történik:

  • DKEK (Device Key Encryption Key - Eszközkulcs titkosítási kulcs) megosztás létrehozása

  • Inicializálja az eszközt, és engedélyezze a DKEK-et mint „Device Encryption Scheme”;

  • DKEK-megosztás importálása a készülékbe

  • PKCS#12 konténer(ek) importálása a DKEK-be

Ez a dokumentáció csak egy konkrét felhasználási esetre vonatkozik, és a teljes munkafolyamat példájaként szolgál. További információkért olvassa el ezt a témát és ezt a blogbejegyzést.

Figyelem

Ez az eljárás visszaállítja a Nitrokey HSM 2 készüléket, és minden adat törlődik rajta!

Előkészítés

  • győződjön meg róla, hogy az összes importálni kívánt kulcs elérhető PKCS#12 konténerként (.p12), és ha szükséges, ismeri a jelszót is.

  • győződjön meg róla, hogy a használt Nitrokey HSM 2-n nincs szükség semmire, az eljárás során törlődik.

  • töltse le a legújabb Smart Card Shell programot és csomagolja ki a munka könyvtárába.

Importálás az SCSH3 felhasználói felületen keresztül

A kicsomagolt könyvtárban található a scsh3gui, amelyet a bash scsh3gui segítségével lehet elindítani (Windows esetén dupla kattintás a: scsh3gui.cmd).

Ha az SCSH3 eszköz meg van nyitva, a Nitrokey HSM 2-t a fa nézetben kell látnia. Kérjük, kövesse az alábbi lépéseket az importáláshoz:

  • Kulcskezelő indítása (Fájl -> Kulcskezelő)

  • Kattintson a jobb gombbal a „Smartcard-HSM” -> DKEK-megosztás létrehozása

    • Válassza ki a fájl helyét

    • Válassza ki a DKEK megosztási jelszót

  • Kattintson a jobb gombbal a „Smartcard-HSM” -> Eszköz inicializálása

    • SO-PIN megadása

    • (opcionális) Adja meg a címkét és adja meg az URL/Host címet.

    • Válassza ki a hitelesítési módszert: „Felhasználói PIN-kód”

    • Engedélyezze a RESET RETRY COUNTER-t: „A PIN kód visszaállítása és feloldása SO-PIN-nel nem megengedett”

    • Adja meg és erősítse meg a felhasználói PIN-kódot

    • „Select Device Key Encryption scheme” -> „DKEK részvények”

    • Adja meg a DKEK részvények számát: 1

  • Kattintson a jobb gombbal a DKEK folyamatban lévő beállítására -> „DKEK-megosztás importálása”

    • Válassza ki a DKEK megosztási fájl helyét

    • Jelszó a DKEK-megosztáshoz

  • Kattintson a jobb gombbal a „SmartCard-HSM” -> „Importálás PKCS#12-ből”

    • Adja meg a részvények számát -> 1

    • Adja meg a DKEK-megosztás fájljának helyét

    • Jelszó megadása a DKEK-megosztáshoz

    • Válassza ki az importálandó PKCS#12 konténert (Adja meg a jelszót, ha be van állítva)

    • Kulcs kiválasztása

    • Válassza ki a használni kívánt nevet (Ez a kulcshoz használt címke a készüléken).

    • További kulcsok importálása, ha szükséges

Ha ez megtörtént, ellenőrizheti, hogy a kulcsok sikeresen importálódtak-e a következőkkel:

pkcs15-tool -D

Az eredményül kapott kimeneten az importált kulcsokat a korábban kiválasztott névvel címkézve találja.