PKCS#11 URL izveide#

Dažādas lietojumprogrammas izmanto openssl, lai apstrādātu, piemēram, TLS sertifikātus. Šī koncepcija lielākoties ļauj vienkārši aizstāt faila ceļu (noslēpumam) ar tā saukto PKCS#11 URL, lai izmantotu noslēpumu no, piemēram, Nitrokey.

Sagatavošana#

  • nodrošināt, ka openssl ir instalēts

  • nodrošina, ka openssl var izmantot PKCS#11 dzinēju, instalējot libengine-pkcs11-openssl.

  • instalēt opensc un gnutls-bin nepieciešamos rīkus.

  • pārbaudiet, vai nepieciešamās atslēgas un/vai sertifikāti ir pieejami jūsu Nitrokey, izmantojot pkcs15-tool -D.

  • ja vēlaties izmantot ECC atslēgas/mehānismus, izmantojot libengine-pkcs11-openssl, jums jānodrošina, lai tā versija būtu vismaz 0.4.10.

PKCS#11 URL adrešu saraksts un ģenerēšana#

Izmantojiet šādu komandu, lai iegūtu pieejamo žetonu sarakstu (Nitrokeys):

p11tool --list-tokens

Izvēlieties token (Nitrokey) URL, kuram vēlaties ģenerēt URL žetonus, un izmantojiet to šādi:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Ja pārbaudīsiet URL adreses asti, jūs atpazīsiet: label, id un citus, tos var daļēji noņemt, ja vien nepieciešamos objektus var unikāli identificēt, izmantojot iegūto URL, sk:doc:TLS Apache2 Configuration<apache2-tls> piemēru, kurā izmanto tikai id.