PKCS#11 URL-generatie#
Verschillende applicaties gebruiken openssl om b.v. TLS certificaten te behandelen. Dit concept maakt het meestal mogelijk om eenvoudig een bestandspad (voor het geheim) te vervangen door een zogenaamde PKCS#11 URL om een geheim van bijvoorbeeld Nitrokey te gebruiken.
Voorbereiding#
zorg ervoor dat
opensslis geïnstalleerdervoor te zorgen dat
opensslde PKCS#11-engine kan gebruiken doorlibengine-pkcs11-opensslte installeren
installeer
openscengnutls-binvoor het benodigde gereedschapcontroleer of de benodigde sleutels en/of certificaten beschikbaar zijn op uw Nitrokey met
pkcs15-tool -Dals u ECC-sleutels/mechanismen wilt gebruiken via
libengine-pkcs11-openssl, moet u ervoor zorgen dat de versie ervan ten minste 0.4.10 is
Lijst en genereren van PKCS#11 URL’s#
Gebruik het volgende commando om een lijst van beschikbare tokens (Nitrokeys) te krijgen:
p11tool --list-tokens
Kies de token (Nitrokey) URL waar je URL tokens voor wilt genereren en gebruik het als volgt:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Als u de staart van de URL inspecteert, zult u herkennen: label, id en meer, deze kunnen gedeeltelijk worden verwijderd zolang de noodzakelijke objecten uniek kunnen worden geïdentificeerd met behulp van de resulterende URL, zie TLS Apache2 Configuration voor een voorbeeld waarbij alleen id wordt gebruikt.