PKCS#11 URL generálása#
Különböző alkalmazások használják az openssl-t például a TLS tanúsítványok kezelésére. Ez a koncepció többnyire lehetővé teszi, hogy a fájl elérési útvonalát (a titok számára) egyszerűen egy úgynevezett PKCS#11 URL-vel helyettesítsük, hogy egy pl. Nitrokey-ből származó titkot használhassunk.
Előkészítés#
biztosítsa, hogy
openssl
telepítve legyen.biztosítsa, hogy
openssl
a PKCS#11 motor használatát alibengine-pkcs11-openssl
telepítésével.
opensc
ésgnutls-bin
telepítése a szükséges szerszámokhozellenőrizze, hogy a szükséges kulcsok és/vagy tanúsítványok rendelkezésre állnak-e a Nitrokey-n a
pkcs15-tool -D
segítségével.ha az ECC kulcsokat/mechanizmusokat a
libengine-pkcs11-openssl
segítségével akarod használni, akkor gondoskodnod kell arról, hogy a verziója legalább 0.4.10 legyen.
PKCS#11 URL-címek listázása és generálása#
A következő paranccsal lekérheti az elérhető tokenek listáját (Nitrokeys):
p11tool --list-tokens
Válassza ki a token (Nitrokey) URL-címét, amelyhez URL-címeket szeretne generálni, és használja a következőképpen:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Ha megvizsgálja az URL-cím végét, akkor felismeri: label
, id
és így tovább, ezek részben eltávolíthatók, amennyiben a szükséges objektumok a kapott URL segítségével egyértelműen azonosíthatók, lásd TLS Apache2 konfiguráció egy példát, amely csak a id
használatával készült.