Importare chiavi e certificati#

Generalmente il concetto per importare coppie di chiavi e/o certificati è il seguente:

  • Creare una condivisione DKEK (Device Key Encryption Key)

  • Inizializzare il dispositivo e abilitare DKEK come «Device Encryption Scheme»

  • Importare la quota DKEK nel dispositivo

  • Importare i contenitori PKCS#12 in DKEK

Questa documentazione copre solo un caso d’uso specifico e dovrebbe servire come esempio per il flusso di lavoro complessivo. Per ulteriori informazioni si prega di leggere questo thread e questo post sul blog.

Avvertimento

Questa procedura resetterà il vostro dispositivo Nitrokey HSM 2 e tutti i dati su di esso saranno cancellati!

Preparazione#

  • assicurarsi che tutte le chiavi che si desidera importare siano disponibili come contenitori PKCS#12 (.p12) e si conosce la password, se necessario

  • si assicuri che non ci sia nulla di necessario sul Nitrokey HSM 2 usato, sarà cancellato durante questa procedura

  • scarica l’ultima Smart Card Shell e scompattala nella tua directory di lavoro

Importazione tramite la GUI di SCSH3#

All’interno della directory scompattata troverete scsh3gui, che può essere avviato utilizzando bash scsh3gui (per windows doppio clic su: scsh3gui.cmd).

Una volta che SCSH3 Tool è aperto, dovreste vedere il vostro Nitrokey HSM 2 all’interno della vista ad albero. Seguite questi passi per importare:

  • Avviare key-manager (File -> Keymanager)

  • Cliccate con il tasto destro del mouse su «Smartcard-HSM» -> create DKEK share

    • Scegliere la posizione del file

    • Scegliere la password di condivisione DKEK

  • Fare clic con il tasto destro del mouse su «Smartcard-HSM» -> Inizializzare il dispositivo

    • Inserisci SO-PIN

    • (opzionale) Inserisci l’etichetta e inserisci l’URL/Host

    • Selezionare il metodo di autenticazione: «PIN utente»

    • Permettere RESET RETRY COUNTER: «Reset e sblocco PIN con SO-PIN non permesso»

    • Inserire e confermare il PIN utente

    • «Select Device Key Encryption scheme» -> «DKEK shares»

    • Inserire il numero di azioni DKEK: 1

  • Cliccare con il tasto destro del mouse su DKEK set-up in corso -> «Import DKEK share»

    • Scegliere la posizione del file di condivisione di DKEK

    • Password per la condivisione DKEK

  • Cliccate con il tasto destro del mouse su «SmartCard-HSM» -> «Importa da PKCS#12»

    • Inserisci il numero di azioni -> 1

    • Inserisci la posizione del file della condivisione DKEK

    • Inserisci la password per la quota DKEK

    • Selezionare il contenitore PKCS#12 per l’importazione (inserire la password, se impostata)

    • Seleziona il tasto

    • Seleziona il nome da usare (Questa è l’etichetta usata per la chiave sul dispositivo)

    • Importare altre chiavi, se necessario

Una volta fatto questo, potete controllare che le chiavi siano state importate con successo usando:

pkcs15-tool -D

Nell’output risultante troverete le chiavi importate etichettate con il nome che avete scelto in precedenza.