Windows KSP és PKCS#11 a PKI Proxy-val

Ez a dokumentum a PKI Proxy használatát ismerteti a NetHSM-mel. A PKI Proxy lehetővé teszi a NetHSM használatát a natív Microsoft Windows API-kon keresztül. Ehhez a PKI Proxy tartalmaz egy KSP-t (Key Storage Provider), amely lehetővé teszi a használatát a CNG (Cryptography API: Next Generation) interfészen keresztül. Emellett PKCS#11 hozzáférést biztosít a NetHSM-hez, de ezt csak akkor érdemes használni, ha a beállítások megkövetelik, például ha szükség van a PKI Proxy további hitelesítési funkcióira, vagy ha a PKI Proxy-t átjáróként szeretné használni, hogy elkerülje a NetHSM közvetlen kitettségét az ügyfelek számára. Minden más esetben használja közvetlenül a NetHSM PKCS#11 illesztőprogramot NetHSM PKCS#11.

A NetHSM telepítése PKI Proxyval a következőképpen néz ki.

Kapcsolat a NetHSM és a PKI Proxy Server, az ügyfél és a nyílt ügyfélinterfészek között.

A NetHSM biztosítja a REST API-t, amelyet a NetHSM PKCS#11 illesztőprogram használ. A PKI Proxy ezt az illesztőprogramot használja a NetHSM-hez való csatlakozáshoz és a kulcsokhoz és tanúsítványokhoz való hozzáféréshez. A PKI Proxy kliensei a PKI Proxy szerver REST API-ját használják a kulcsok és tanúsítványok eléréséhez. Az ügyfél alkalmazásai használhatják a natív Windows API-t vagy a PKCS#11 illesztőprogramot. A NetHSM és a PKI Proxy kiszolgáló, valamint a PKI Proxy ügyfelek közötti kommunikáció titkosított. A PKI Proxy kiszolgáló és az ügyfél ugyanazon a számítógépen is futtatható.

Ennek a beállításnak a lehetséges felhasználási esetei a következők:

  • Code signing

  • Document signing

Javaslat

További információkért olvassa el a PKI Proxy hivatalos dokumentációját is:.

Prerequisits

  • NetHSM (hardveres vagy konténeres) - Provisioned - A NetHSM IP-címének ismertnek kell lennie, és a HTTPS portnak elérhetőnek kell lennie.

  • Windows gép - Nitrokey NetHSM PKCS#11 illesztőprogram telepítve és konfigurálva (csak a PKI Proxy Server esetében szükséges).

Fontos

Egyes gépeken a PKI Proxy Server összeomolhat a NetHSM PKCS#11 modul kirakodása közben. Ez a modul egyik függőségében található hiba, és a oldalon követhető nyomon: GitHub issue. Ha ezzel a hibával találkozik, kérjük, állítsa a disable_thread_pool konfigurációs opciót true -ra a NetHSM PKCS#11 konfigurációs fájljában. Kérjük, olvassa el a példakonfigurációs fájlt a konfiguráció jobb megértéséhez.

PKI Proxy - Kiszolgáló

A PKI Proxy-kiszolgáló megosztja a NetHSM kulcsokat és tanúsítványokat a különböző felhasználók számára.

Telepítés

  1. Download the PKI Proxy 2024 installer from the /n software website.

  2. Nyissa meg a telepítőt, és kövesse a telepítő varázslót.

  3. Nyissa meg a PKI Proxy-t a Start menüből. Ha az alapértelmezett helyre telepítette, akkor a következő paranccsal is futtathatja a Futtatás párbeszédpanelen vagy a PowerShellben.

    C:\Program Files\PKI Proxy 2024\PKIProxy.exe

    Megjegyzés

    A PKI Proxy akkor is a tálcára minimalizálódik, ha a főablak be van zárva.

Service Configuration

Az alábbi utasítások a PKI-proxyt konfigurálják.

  1. Open the PKI Proxy main window.

  2. Change to the Settings tab.

  3. Győződjön meg róla, hogy a Enable TLS jelölőnégyzet be van jelölve, és megfelelő tanúsítványt használ.

  4. Change to the Users tab.

  5. Hozzon létre új felhasználót a New… gombra kattintva. Válasszon olyan hitelesítési típust, amelyet minden ügyfél támogat.

  6. A főablak menüsorában kattintson a Start gombra a PKI Proxy szolgáltatás elindításához.

Publish Certificates from the NetHSM

A következőkben azt állítjuk be, hogy a NetHSM mely tanúsítványai legyenek elérhetőek a PKI Proxy-n keresztül.

  1. Győződjön meg róla, hogy a PKI Proxy főablak nyitva van.

  2. Change to the Certificates tab.

  3. Kattintson a New… gombra. Ez megnyitja a Share Certificate ablakot.

  4. Kattintson a Select Certificate or Key… gombra a Certificate keretben a Certificate ablakban. Ez megnyitja a Select a Private Key ablakot.

  5. Váltson a Biztonsági kulcs fülre.

  6. Kattintson a Browse… gombra, és válassza ki a NetHSM PKCS#11 illesztőprogramkönyvtár fájlt. A PKCS#11 Library szövegmezőben mostantól a könyvtárfájl elérési útvonala látható.

  7. A legördülő menüből Biztonsági kulcs (PKCS#11) válassza ki azt a nyílást, amely a tanúsítványt tartalmazza. A felsorolt slotok a PKCS#11 modul konfigurációjától függnek.

  8. Click the Open button.

  9. A Tanúsítványok alatti szöveges lista mostantól a NetHSM-en elérhető tanúsítványok és általános kulcsok listáját mutatja. Válassza ki a PKI Proxyval megosztani kívánt tanúsítványt vagy általános kulcsot.

  10. Kattintson a OK gombra a kiválasztás megerősítéséhez. Ezáltal visszatér a Share Certificate ablakhoz. Az ablakban most már a kiválasztott tanúsítvány részletei jelennek meg.

  11. Kattintson a Add… gombra a Access and Permissions (Hozzáférés és engedélyek) ablak keretén belül. Ez megnyitja a Select user ablakot.

  12. Válasszon ki egy meglévő felhasználót a legördülő menüből, vagy hozzon létre egy újat a Új felhasználó létrehozása… menüpont kiválasztásával. Kattintson a OK gombra a kiválasztás megerősítéséhez. Ha új felhasználó létrehozása mellett dönt, akkor ezt követően megjelenik a Új felhasználó ablak.

  13. Visszatérve a Share Certificate ablakban győződjön meg arról is, hogy csak a szükséges műveleteket engedélyezi a tanúsítványhoz vagy az általános kulcshoz. Ez a Hozzáférés és engedélyek keret alján található jelölőnégyzetekkel módosítható.

  14. Kattintson a OK gombra a tanúsítvány közzétételéhez. Ezzel visszatér a PKI Proxy főablakába.

  15. A Tanúsítványkezelés alatti szöveges lista mostantól a közzétett tanúsítványt mutatja.

Fontos

Győződjön meg arról, hogy a NetHSM-en lévő megosztott kulcs mechanizmusai lehetővé teszik a PKI Proxyban történő tervezett használatot.

PKI Proxy - Ügyfél

A PKI Proxy ügyféleszközök különböző módokat biztosítanak a PKI Proxy-kiszolgáló megosztott kulcsainak és tanúsítványainak elérésére.

Javaslat

A PKI Proxy-kiszolgáló tartalmazza az ügyféleszközöket. Ezért a kiszolgálót futtató gép önmagának is ügyfél lehet.

Telepítés

  1. Töltse le a PKI Proxy 2024 - Client Tools a /n szoftver weboldaláról.

  2. Nyissa meg a telepítőt, és kövesse a telepítő varázslót.

KSP (Key Storage Provider)

A PKI Proxy egy KSP-t biztosít a PKI Proxy-kiszolgálóval való kapcsolódáshoz. A KSP a CNG (Cryptography API: Next Generation) interfészen keresztül lehetővé teszi a natív Windows API-k használatát az alkalmazásokkal. További információkért tekintse meg a PKI Proxy dokumentációját.

PKCS#11

A PKI Proxy egy PKCS#11 modult biztosít a PKI Proxy szerverrel való kapcsolódáshoz. További információkért olvassa el a PKI Proxy dokumentációját.