PKCS#11 URL-generatie#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Verschillende applicaties gebruiken openssl om b.v. TLS certificaten te behandelen. Dit concept maakt het meestal mogelijk om eenvoudig een bestandspad (voor het geheim) te vervangen door een zogenaamde PKCS#11 URL om een geheim van bijvoorbeeld Nitrokey te gebruiken.
Voorbereiding#
zorg ervoor dat
openssl
is geïnstalleerdervoor te zorgen dat
openssl
de PKCS#11-engine kan gebruiken doorlibengine-pkcs11-openssl
te installeren
installeer
opensc
engnutls-bin
voor het benodigde gereedschapcontroleer of de benodigde sleutels en/of certificaten beschikbaar zijn op uw Nitrokey met
pkcs15-tool -D
als u ECC-sleutels/mechanismen wilt gebruiken via
libengine-pkcs11-openssl
, moet u ervoor zorgen dat de versie ervan ten minste 0.4.10 is
Lijst en genereren van PKCS#11 URL’s#
Gebruik het volgende commando om een lijst van beschikbare tokens (Nitrokeys) te krijgen:
p11tool --list-tokens
Kies de token (Nitrokey) URL waar je URL tokens voor wilt genereren en gebruik het als volgt:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Als u de staart van de URL inspecteert, zult u herkennen: label
, id
en meer, deze kunnen gedeeltelijk worden verwijderd zolang de noodzakelijke objecten uniek kunnen worden geïdentificeerd met behulp van de resulterende URL, zie TLS Apache2 Configuration voor een voorbeeld waarbij alleen id
wordt gebruikt.