PKCS#11 URL-generatie

Verschillende applicaties gebruiken openssl om b.v. TLS certificaten te behandelen. Dit concept maakt het meestal mogelijk om eenvoudig een bestandspad (voor het geheim) te vervangen door een zogenaamde PKCS#11 URL om een geheim van bijvoorbeeld Nitrokey te gebruiken.

Voorbereiding

  • zorg ervoor dat openssl is geïnstalleerd

  • ervoor te zorgen dat openssl de PKCS#11-engine kan gebruiken door libengine-pkcs11-openssl te installeren

  • installeer opensc en gnutls-bin voor het benodigde gereedschap

  • controleer of de benodigde sleutels en/of certificaten beschikbaar zijn op uw Nitrokey met pkcs15-tool -D

  • als u ECC-sleutels/mechanismen wilt gebruiken via libengine-pkcs11-openssl, moet u ervoor zorgen dat de versie ervan ten minste 0.4.10 is

Lijst en genereren van PKCS#11 URL’s

Gebruik het volgende commando om een lijst van beschikbare tokens (Nitrokeys) te krijgen:

p11tool --list-tokens

Kies de token (Nitrokey) URL waar je URL tokens voor wilt genereren en gebruik het als volgt:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Als u de staart van de URL inspecteert, zult u herkennen: label, id en meer, deze kunnen gedeeltelijk worden verwijderd zolang de noodzakelijke objecten uniek kunnen worden geïdentificeerd met behulp van de resulterende URL, zie TLS Apache2 Configuration voor een voorbeeld waarbij alleen id wordt gebruikt.