Sleutels en certificaten importeren

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

inactive

inactive

active

inactive

inactive

inactive

inactive

inactive

In het algemeen is het concept om sleutelparen en/of certificaten te importeren het volgende:

  • Maak een DKEK (Device Key Encryption Key) aandeel

  • Initialiseer het apparaat en schakel DKEK in als “Device Encryption Scheme”

  • DKEK-share in apparaat importeren

  • Importeer PKCS#12 container(s) in DKEK

Deze documentatie behandelt slechts één specifieke use-case en moet dienen als voorbeeld voor de algemene workflow. Lees voor meer informatie deze thread en deze blog post.

Waarschuwing

Deze procedure zal uw Nitrokey HSM 2 apparaat resetten en alle gegevens erop zullen worden gewist!

Voorbereiding

  • zorg ervoor dat alle sleutels die u wilt importeren beschikbaar zijn als PKCS#12 containers (.p12) en dat u het wachtwoord kent, indien nodig

  • zorg ervoor dat niets op de gebruikte Nitrokey HSM 2 nodig is, het zal tijdens deze procedure worden verwijderd

  • download de nieuwste Smart Card Shell en pak die uit in je werk-directory

Importeren via de SCSH3 GUI

In de uitgepakte directory vindt u scsh3gui, die kan worden gestart met bash scsh3gui (voor windows dubbelklik op: scsh3gui.cmd).

Zodra de SCSH3 Tool geopend is, zou u uw Nitrokey HSM 2 in de boomstructuur moeten zien. Volg deze stappen om te importeren:

  • Start sleutelbeheerder (Bestand -> Sleutelbeheerder)

  • Rechts-klik “Smartcard-HSM” -> maak DKEK share

    • Kies bestandslocatie

    • Kies DKEK-sharewachtwoord

  • Rechts-klik “Smartcard-HSM” -> Apparaat initialiseren

    • SO-PIN invoeren

    • (facultatief) Voer label in en voer URL/Host in

    • Selecteer verificatiemethode: “User PIN”

    • RESET RETRY COUNTER toestaan: “Resetten en deblokkeren van PIN met SO-PIN niet toegestaan”

    • Gebruikers-PIN invoeren en bevestigen

    • “Select Device Key Encryption scheme” -> “DKEK shares”

    • Geef het aantal DKEK aandelen in: 1

  • Klik met de rechtermuisknop op DKEK set-up in uitvoering -> “DKEK share importeren”

    • Kies DKEK share bestandslocatie

    • Wachtwoord voor DKEK share

  • Klik met de rechtermuisknop op “SmartCard-HSM” -> “Import from PKCS#12”

    • Geef aantal aandelen -> 1

    • Voer bestandslocatie van DKEK-share in

    • Geef wachtwoord voor DKEK aandeel

    • Selecteer PKCS#12 container voor import (Voer wachtwoord in, indien ingesteld)

    • Kies toets

    • Selecteer de naam die moet worden gebruikt (dit is het label dat wordt gebruikt voor de toets op het toestel)

    • Importeer meer sleutels, indien nodig

Zodra dit is gebeurd, kunt u controleren of de sleutels met succes zijn geïmporteerd met:

pkcs15-tool -D

In de resulterende uitvoer vindt u de geïmporteerde sleutels gelabeld met de naam die u eerder hebt gekozen.