„Windows“ KSP ir PKCS#11 su PKI tarpininku¶
Šiame dokumente paaiškinamas PKI proxy naudojimas su NetHSM. PKI Proxy leidžia naudoti NetHSM per „Microsoft Windows“ API. Šiam tikslui į „PKI Proxy“ įtrauktas KSP (angl. Key Storage Provider), kuris leidžia naudoti jį per CNG (Cryptography API: Next Generation) sąsają. Be to, jis suteikia PKCS#11 prieigą prie NetHSM, tačiau tai turėtų būti naudojama tik tuo atveju, jei to reikia jūsų sąrankai, pavyzdžiui, jei jums reikia papildomų PKI Proxy autentiškumo nustatymo funkcijų arba norite naudoti PKI Proxy kaip vartus, kad neteiktumėte NetHSM klientams tiesiogiai. Visais kitais atvejais naudokite NetHSM PKCS#11 tvarkyklę tiesiogiai.
NetHSM diegimas su PKI Proxy atrodo taip.
NetHSM teikia REST API, kurią naudoja NetHSM PKCS#11 tvarkyklė. PKI Proxy naudoja šią tvarkyklę prisijungti prie NetHSM ir pasiekti jo raktus ir sertifikatus. PKI Proxy klientai naudoja PKI Proxy serverio REST API, kad galėtų pasiekti raktus ir sertifikatus. Kliento taikomosios programos gali naudoti vietinę „Windows“ API arba PKCS#11 tvarkyklę. Ryšys tarp NetHSM ir PKI Proxy serverio bei PKI Proxy klientų yra šifruojamas. PKI Proxy serveris ir klientas gali būti vykdomi tame pačiame kompiuteryje.
Galimi šios sąrankos naudojimo atvejai:
Code signing
Document signing
Patarimas
Daugiau informacijos taip pat rasite oficialioje PKI tarpinio serverio dokumentacijoje.
Prerequisits¶
NetHSM (aparatinė įranga arba konteineris) - Užtikrintas - turi būti žinomas NetHSM IP adresas ir pasiekiamas HTTPS prievadas.
„Windows“ kompiuteris - įdiegta ir sukonfigūruota „Nitrokey NetHSM PKCS#11“ tvarkyklė (reikalinga tik PKI tarpiniame serveryje).
Svarbu
Kai kuriuose kompiuteriuose PKI tarpinio serverio serveris gali sugesti atliekant NetHSM PKCS#11 modulio iškrovimo procedūrą. Tai yra modulio priklausomybės klaida, kuri stebima šioje „GitHub“ numeryje. Jei susiduriate su šia klaida, „NetHSM PKCS#11“ konfigūracijos faile nustatykite disable_thread_pool konfigūracijos parinktį true. Kad geriau suprastumėte, kaip konfigūruoti, žr. konfigūracijos failo pavyzdį.
PKI tarpinis serveris - serveris¶
PKI tarpinis serveris dalijasi raktais ir sertifikatais iš NetHSM skirtingiems naudotojams.
Įrengimas¶
Download the PKI Proxy 2024 installer from the /n software website.
Atidarykite diegimo programą ir vykdykite diegimo vedlio nurodymus.
Pradžios meniu atidarykite „PKI Proxy“. Jei jį įdiegėte į numatytąją vietą, taip pat galite paleisti šia komanda iš paleisti dialogo lango arba PowerShell.
C:\Program Files\PKI Proxy 2024\PKIProxy.exePastaba
„PKI Proxy“ sumažės į sistemos dėklą, net jei pagrindinis langas yra uždarytas.
Service Configuration¶
Toliau pateiktose instrukcijose konfigūruojamas PKI tarpinis serveris.
Open the PKI Proxy main window.
Change to the Settings tab.
Įsitikinkite, kad pažymėtas žymimasis langelis Enable TLS ir naudojamas tinkamas sertifikatas.
Change to the Users tab.
Sukurkite naują naudotoją spustelėję mygtuką New…. Pasirinkite autentifikavimo tipą, kurį palaiko visi klientai.
Pagrindinio lango meniu juostoje spustelėkite mygtuką Start, kad paleistumėte PKI Proxy paslaugą.
Publish Certificates from the NetHSM¶
Toliau konfigūruojame, kurie sertifikatai iš NetHSM bus prieinami per PKI Proxy.
Įsitikinkite, kad atidarytas pagrindinis „PKI Proxy“ langas.
Change to the Certificates tab.
Spustelėkite New… mygtuką. Atsidarys Akcijų sertifikato langas.
Spustelėkite Select Certificate or Key… (pasirinkti sertifikatą arba raktą…) mygtuką, esantį lango Certificate rėmelyje. Taip bus atvertas Select a Private Key (pasirinkti privatų raktą) langas.
Pereikite į skirtuką Saugumo raktas.
Spustelėkite Naršyti… mygtuką ir pasirinkite NetHSM PKCS#11 tvarkyklės bibliotekos failą. Dabar teksto lauke PKCS#11 biblioteka rodomas bibliotekos failo kelias.
Iš išskleidžiamojo meniu Security Key (PKCS#11) pasirinkite lizdą, kuriame yra sertifikatas. Išvardyti lizdai priklauso nuo jūsų PKCS#11 modulio konfigūracijos.
Click the Open button.
Po Certificates esančiame teksto sąraše dabar rodomas NetHSM turimų sertifikatų ir bendrųjų raktų sąrašas. Pasirinkite sertifikatą arba bendrąjį raktą, kurį norite bendrinti su PKI Proxy.
Norėdami patvirtinti pasirinkimą, spustelėkite mygtuką OK. Taip grįšite į akcijų sertifikato langą. Dabar lange bus rodoma išsami informacija apie pasirinktą sertifikatą.
Spustelėkite Add… mygtuką, esantį lango Access and Permissions rėmelyje. Bus atvertas Pasirinkite naudotoją langas.
Iš išskleidžiamojo meniu pasirinkite esamą naudotoją arba sukurkite naują, pasirinkę Create New User…. Norėdami patvirtinti pasirinkimą, spustelėkite OK mygtuką . Jei pasirinksite sukurti naują naudotoją, po to bus rodomas New User (Naujas naudotojas) langas.
Grįžę į Share Certificate langą taip pat įsitikinkite, kad sertifikatui arba bendrajam raktui leistos tik reikiamos operacijos. Tai galima pakeisti naudojant žymimuosius langelius, esančius lango Access and Permissions rėmelio apačioje.
Norėdami paskelbti sertifikatą, spustelėkite mygtuką OK. Taip grįšite į pagrindinį PKI proxy langą.
Po Certificate Management esančiame teksto sąraše dabar rodomas paskelbtas sertifikatas.
Svarbu
Įsitikinkite, kad NetHSM bendrojo rakto mechanizmai leidžia jį naudoti PKI proxy.
PKI tarpinis serveris - klientas¶
„PKI Proxy“ kliento įrankiais galima įvairiais būdais pasiekti bendrus raktus ir sertifikatus iš „PKI Proxy“ serverio.
Patarimas
PKI proxy serveryje yra kliento įrankiai. Taigi kompiuteris, kuriame veikia serveris, gali būti ir klientas sau pačiam.
Įrengimas¶
Atsisiųskite PKI Proxy 2024 - Client Tools iš /n programinės įrangos svetainės.
Atidarykite diegimo programą ir vykdykite diegimo vedlio nurodymus.
KSP (Key Storage Provider)¶
„PKI Proxy“ pateikia KSP, skirtą sąsajai su „PKI Proxy“ serveriu palaikyti. KSP leidžia naudoti „Windows“ vietines API su taikomosiomis programomis per CNG (Cryptography API: Next Generation) sąsają. Daugiau informacijos rasite PKI Proxy dokumentacijoje.
PKCS#11¶
„PKI Proxy“ pateikia PKCS#11 modulį, skirtą sąsajai su „PKI Proxy“ serveriu. Daugiau informacijos rasite PKI Proxy dokumentacijoje.