Importare chiavi e certificati#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Generalmente il concetto per importare coppie di chiavi e/o certificati è il seguente:
Creare una condivisione DKEK (Device Key Encryption Key)
Inizializzare il dispositivo e abilitare DKEK come «Device Encryption Scheme»
Importare la quota DKEK nel dispositivo
Importare i contenitori PKCS#12 in DKEK
Questa documentazione copre solo un caso d’uso specifico e dovrebbe servire come esempio per il flusso di lavoro complessivo. Per ulteriori informazioni si prega di leggere questo thread e questo post sul blog.
Avvertimento
Questa procedura resetterà il vostro dispositivo Nitrokey HSM 2 e tutti i dati su di esso saranno cancellati!
Preparazione#
assicurarsi che tutte le chiavi che si desidera importare siano disponibili come contenitori PKCS#12 (.p12) e si conosce la password, se necessario
si assicuri che non ci sia nulla di necessario sul Nitrokey HSM 2 usato, sarà cancellato durante questa procedura
scarica l’ultima Smart Card Shell e scompattala nella tua directory di lavoro
Importazione tramite la GUI di SCSH3#
All’interno della directory scompattata troverete scsh3gui, che può essere avviato utilizzando bash scsh3gui (per windows doppio clic su: scsh3gui.cmd).
Una volta che SCSH3 Tool è aperto, dovreste vedere il vostro Nitrokey HSM 2 all’interno della vista ad albero. Seguite questi passi per importare:
Avviare key-manager (File -> Keymanager)
Cliccate con il tasto destro del mouse su «Smartcard-HSM» -> create DKEK share
Scegliere la posizione del file
Scegliere la password di condivisione DKEK
Fare clic con il tasto destro del mouse su «Smartcard-HSM» -> Inizializzare il dispositivo
Inserisci SO-PIN
(opzionale) Inserisci l’etichetta e inserisci l’URL/Host
Selezionare il metodo di autenticazione: «PIN utente»
Permettere RESET RETRY COUNTER: «Reset e sblocco PIN con SO-PIN non permesso»
Inserire e confermare il PIN utente
«Select Device Key Encryption scheme» -> «DKEK shares»
Inserire il numero di azioni DKEK: 1
Cliccare con il tasto destro del mouse su DKEK set-up in corso -> «Import DKEK share»
Scegliere la posizione del file di condivisione di DKEK
Password per la condivisione DKEK
Cliccate con il tasto destro del mouse su «SmartCard-HSM» -> «Importa da PKCS#12»
Inserisci il numero di azioni -> 1
Inserisci la posizione del file della condivisione DKEK
Inserisci la password per la quota DKEK
Selezionare il contenitore PKCS#12 per l’importazione (inserire la password, se impostata)
Seleziona il tasto
Seleziona il nome da usare (Questa è l’etichetta usata per la chiave sul dispositivo)
Importare altre chiavi, se necessario
Una volta fatto questo, potete controllare che le chiavi siano state importate con successo usando:
pkcs15-tool -D
Nell’output risultante troverete le chiavi importate etichettate con il nome che avete scelto in precedenza.