Windows KSP un PKCS#11 ar PKI Proxy¶
Šajā dokumentā ir izskaidrota PKI Proxy izmantošana ar NetHSM. PKI Proxy ļauj izmantot NetHSM, izmantojot Microsoft Windows API. Šim nolūkam PKI Proxy ietver KSP (Key Storage Provider), kas ļauj to izmantot, izmantojot CNG (Cryptography API: Next Generation) saskarni. Turklāt tas nodrošina PKCS#11 piekļuvi NetHSM, taču to vajadzētu izmantot tikai tad, ja jūsu konfigurācijā tas ir nepieciešams, piemēram, ja jums ir nepieciešamas PKI Proxy papildu autentifikācijas funkcijas vai vēlaties izmantot PKI Proxy kā vārteju, lai izvairītos no NetHSM tiešas pieejas klientiem. Visos citos gadījumos izmantojiet NetHSM PKCS#11 draiveri tieši.
NetHSM izvietošana ar PKI Proxy izskatās šādi.
NetHSM nodrošina REST API, ko izmanto NetHSM PKCS#11 draiveris. PKI Proxy izmanto šo draiveri, lai izveidotu savienojumu ar NetHSM un piekļūtu tā atslēgām un sertifikātiem. PKI Proxy klienti izmanto PKI Proxy servera REST API, lai piekļūtu atslēgām un sertifikātiem. Klienta lietojumprogrammas var izmantot vai nu Windows API, vai PKCS#11 draiveri. Saziņa starp NetHSM un PKI Proxy serveri un PKI Proxy klientiem ir šifrēta. PKI Proxy serveri un klientu var izmantot vienā datorā.
Iespējamie šīs konfigurācijas izmantošanas gadījumi ir šādi:
Code signing
Document signing
Padoms
Lai iegūtu vairāk informācijas, lūdzu, skatiet arī oficiālo PKI Proxy dokumentāciju.
Prerequisits¶
NetHSM (aparatūras vai konteineru) - Nodrošināts - NetHSM IP adresei jābūt zināmai, un HTTPS pieslēgvietai jābūt sasniedzamai.
Windows dators - Nitrokey NetHSM PKCS#11 draiveris ir instalēts un konfigurēts (nepieciešams tikai PKI Proxy serverim).
Svarīgi
Dažos datoros NetHSM PKCS#11 moduļa izkraušanas procedūras laikā PKI starpniekserveris var sabrukt. Tā ir moduļa atkarības kļūda, un tā ir izsekota šajā GitHub jautājumā. Ja sastopaties ar šo kļūdu, lūdzu, iestatiet disable_thread_pool konfigurācijas opciju uz true savā NetHSM PKCS#11 konfigurācijas failā. Lai labāk saprastu, kā to konfigurēt, lūdzu, skatiet konfigurācijas faila piemēru.
PKI starpniekserveris - serveris¶
PKI Proxy serveris koplieto atslēgas un sertifikātus no NetHSM dažādiem lietotājiem.
Uzstādīšana¶
Download the PKI Proxy 2024 installer from the /n software website.
Atveriet instalēšanas programmu un izpildiet instalēšanas vedņa norādījumus.
Atveriet PKI Proxy no sākuma izvēlnes. Ja tas ir instalēts noklusējuma atrašanās vietā, varat to palaist arī ar šādu komandu no Run dialoglodziņa vai PowerShell.
C:\Program Files\PKI Proxy 2024\PKIProxy.exePiezīme
Programma PKI Proxy tiks minimizēta sistēmas teknē, pat ja galvenais logs ir aizvērts.
Service Configuration¶
Tālāk sniegtajos norādījumos ir konfigurēts PKI starpniekserveris.
Open the PKI Proxy main window.
Change to the Settings tab.
Pārliecinieties, ka ir atzīmēts izvēles rūtiņa Enable TLS un tiek izmantots atbilstošs sertifikāts.
Change to the Users tab.
Izveidojiet jaunu lietotāju, noklikšķinot uz pogas New…. Izvēlieties autentifikācijas veidu, ko atbalsta visi klienti.
Galvenā loga izvēlnes joslā noklikšķiniet uz pogas Start, lai palaistu PKI Proxy pakalpojumu.
Publish Certificates from the NetHSM¶
Tālāk mēs konfigurējam, kuri sertifikāti no NetHSM ir pieejami, izmantojot PKI Proxy.
Pārliecinieties, ka ir atvērts galvenais logs PKI Proxy.
Change to the Certificates tab.
Noklikšķiniet uz pogas New…. Atvērsies Akciju sertifikāta logs.
Noklikšķiniet uz Izvēlieties sertifikātu vai atslēgu… pogas, kas atrodas loga Sertifikāts rāmī. Tādējādi tiks atvērts Izvēlieties privāto atslēgu logs.
Pāriet uz cilni Drošības atslēga.
Noklikšķiniet uz pogas Pārlūkot… un izvēlieties NetHSM PKCS#11 draivera bibliotēkas failu. Teksta laukā PKCS#11 bibliotēka tagad tiek parādīts ceļš līdz bibliotēkas datnei.
No nolaižamajā izvēlnē Security Key (PKCS#11) izvēlieties slotu, kurā atrodas sertifikāts. Uzskaitītie slots ir atkarīgs no jūsu PKCS#11 moduļa konfigurācijas.
Click the Open button.
Teksta sarakstā zem Certificates tagad ir redzams NetHSM pieejamo sertifikātu un vispārējo atslēgu saraksts. Izvēlieties sertifikātu vai vispārīgo atslēgu, kuru vēlaties kopīgot ar PKI Proxy.
Lai apstiprinātu izvēli, noklikšķiniet uz pogas OK. Tādējādi jūs atgriezīs atpakaļ uz Akciju sertifikāta logu. Tagad logā tiks parādīta informācija par izvēlēto sertifikātu.
Noklikšķiniet uz Add… pogas Access and Permissions loga rāmī. Tādējādi tiks atvērts Izvēlieties lietotāju logs.
Izlaižamajā izvēlnē izvēlieties esošo lietotāju vai izveidojiet jaunu lietotāju, izvēloties Izveidot jaunu lietotāju…. Lai apstiprinātu izvēli, noklikšķiniet uz pogas OK. Ja izvēlaties izveidot jaunu lietotāju, pēc tam tiks parādīts New User logs.
Atpakaļ Share Certificate logā pārliecinieties arī par to, vai atļautas tikai nepieciešamās darbības sertifikātam vai vispārējai atslēgai. To var mainīt, izmantojot izvēles rūtiņas Piekļuve un atļaujas rāmja apakšā.
Lai publicētu sertifikātu, noklikšķiniet uz pogas OK. Pēc tam jūs atgriezīs atpakaļ galvenajā PKI Proxy logā.
Tagad teksta sarakstā zem Sertifikātu pārvaldība ir redzams publicētais sertifikāts.
Svarīgi
Pārliecinieties, ka koplietojamās atslēgas mehānismi NetHSM ļauj to izmantot PKI Proxy.
PKI starpniekserveris - klients¶
PKI Proxy klienta rīki nodrošina dažādus veidus, kā piekļūt kopīgajām atslēgām un sertifikātiem no PKI Proxy servera.
Padoms
PKI Proxy serverī ir klienta rīki. Tādējādi mašīna, kurā darbojas serveris, var būt arī pati sev klients.
Uzstādīšana¶
Lejupielādējiet PKI Proxy 2024 - Client Tools no /n programmatūras vietnes.
Atveriet instalēšanas programmu un izpildiet instalēšanas vedņa norādījumus.
KSP (Key Storage Provider)¶
PKI Proxy nodrošina KSP saskarnei ar PKI Proxy serveri. KSP ļauj izmantot vietējās Windows API ar lietojumprogrammām, izmantojot CNG (Cryptography API: Next Generation) saskarni. Sīkāku informāciju skatīt PKI Proxy dokumentācijā.
PKCS#11¶
PKI Proxy nodrošina PKCS#11 moduli saskarnei ar PKI Proxy serveri. Lai iegūtu vairāk informācijas, lūdzu, skatiet PKI Proxy dokumentāciju.