Sleutels en certificaten importeren#
In het algemeen is het concept om sleutelparen en/of certificaten te importeren het volgende:
Maak een DKEK (Device Key Encryption Key) aandeel
Initialiseer het apparaat en schakel DKEK in als “Device Encryption Scheme”
DKEK-share in apparaat importeren
Importeer PKCS#12 container(s) in DKEK
Deze documentatie behandelt slechts één specifieke use-case en moet dienen als voorbeeld voor de algemene workflow. Lees voor meer informatie deze thread en deze blog post.
Waarschuwing
Deze procedure zal uw Nitrokey HSM 2 apparaat resetten en alle gegevens erop zullen worden gewist!
Voorbereiding#
zorg ervoor dat alle sleutels die u wilt importeren beschikbaar zijn als PKCS#12 containers (.p12) en dat u het wachtwoord kent, indien nodig
zorg ervoor dat niets op de gebruikte Nitrokey HSM 2 nodig is, het zal tijdens deze procedure worden verwijderd
download de nieuwste Smart Card Shell en pak die uit in je werk-directory
Importeren via de SCSH3 GUI#
In de uitgepakte directory vindt u scsh3gui
, die kan worden gestart met bash scsh3gui
(voor windows dubbelklik op: scsh3gui.cmd
).
Zodra de SCSH3 Tool geopend is, zou u uw Nitrokey HSM 2 in de boomstructuur moeten zien. Volg deze stappen om te importeren:
Start sleutelbeheerder (Bestand -> Sleutelbeheerder)
Rechts-klik “Smartcard-HSM” -> maak DKEK share
Kies bestandslocatie
Kies DKEK-sharewachtwoord
Rechts-klik “Smartcard-HSM” -> Apparaat initialiseren
SO-PIN invoeren
(facultatief) Voer label in en voer URL/Host in
Selecteer verificatiemethode: “User PIN”
RESET RETRY COUNTER toestaan: “Resetten en deblokkeren van PIN met SO-PIN niet toegestaan”
Gebruikers-PIN invoeren en bevestigen
“Select Device Key Encryption scheme” -> “DKEK shares”
Geef het aantal DKEK aandelen in: 1
Klik met de rechtermuisknop op DKEK set-up in uitvoering -> “DKEK share importeren”
Kies DKEK share bestandslocatie
Wachtwoord voor DKEK share
Klik met de rechtermuisknop op “SmartCard-HSM” -> “Import from PKCS#12”
Geef aantal aandelen -> 1
Voer bestandslocatie van DKEK-share in
Geef wachtwoord voor DKEK aandeel
Selecteer PKCS#12 container voor import (Voer wachtwoord in, indien ingesteld)
Kies toets
Selecteer de naam die moet worden gebruikt (dit is het label dat wordt gebruikt voor de toets op het toestel)
Importeer meer sleutels, indien nodig
Zodra dit is gebeurd, kunt u controleren of de sleutels met succes zijn geïmporteerd met:
pkcs15-tool -D
In de resulterende uitvoer vindt u de geïmporteerde sleutels gelabeld met de naam die u eerder hebt gekozen.