PKCS#11 URL generálása#

Különböző alkalmazások használják az openssl-t például a TLS tanúsítványok kezelésére. Ez a koncepció többnyire lehetővé teszi, hogy a fájl elérési útvonalát (a titok számára) egyszerűen egy úgynevezett PKCS#11 URL-vel helyettesítsük, hogy egy pl. Nitrokey-ből származó titkot használhassunk.

Előkészítés#

  • biztosítsa, hogy openssl telepítve legyen.

  • biztosítsa, hogy openssl a PKCS#11 motor használatát a libengine-pkcs11-openssl telepítésével.

  • opensc és gnutls-bin telepítése a szükséges szerszámokhoz

  • ellenőrizze, hogy a szükséges kulcsok és/vagy tanúsítványok rendelkezésre állnak-e a Nitrokey-n a pkcs15-tool -D segítségével.

  • ha az ECC kulcsokat/mechanizmusokat a libengine-pkcs11-openssl segítségével akarod használni, akkor gondoskodnod kell arról, hogy a verzió legalább 0.4.10 legyen.

PKCS#11 URL-címek listázása és generálása#

A következő paranccsal lekérheti az elérhető tokenek listáját (Nitrokeys):

p11tool --list-tokens

Válassza ki a token (Nitrokey) URL-címét, amelyhez URL-címeket szeretne generálni, és használja a következőképpen:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Ha megvizsgálja az URL-cím végét, akkor felismeri: label, id és így tovább, ezek részben eltávolíthatók, amennyiben a szükséges objektumok a kapott URL segítségével egyértelműen azonosíthatók, lásd TLS Apache2 konfiguráció egy példát, amely csak a id használatával készült.