Importowanie kluczy i certyfikatów

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

inactive

inactive

active

inactive

inactive

inactive

inactive

inactive

Generalnie koncepcja importu par kluczy i/lub certyfikatów jest następująca:

  • Utwórz udział DKEK (Device Key Encryption Key)

  • Zainicjuj urządzenie i włącz DKEK jako „Device Encryption Scheme”

  • Importuj udział DKEK do urządzenia

  • Zaimportuj kontener(y) PKCS#12 do DKEK

Ta dokumentacja obejmuje tylko jeden konkretny przypadek użycia i powinna służyć jako przykład dla ogólnego przepływu pracy. Aby uzyskać więcej informacji, proszę przeczytać ten wątek i ten wpis na blogu.

Ostrzeżenie

Ta procedura zresetuje Twoje urządzenie Nitrokey HSM 2 i wszystkie znajdujące się na nim dane zostaną usunięte!

Przygotowanie

  • upewnij się, że wszystkie klucze, które chcesz zaimportować są dostępne jako kontenery PKCS#12 (.p12) i znasz hasło, jeśli jest potrzebne

  • upewnij się, że nic na używanym Nitrokey HSM 2 nie jest potrzebne, zostanie ono usunięte podczas tej procedury

  • pobierz najnowszy Smart Card Shell i rozpakuj go do katalogu roboczego

Importowanie za pomocą graficznego interfejsu użytkownika SCSH3

Wewnątrz rozpakowanego katalogu znajduje się scsh3gui, który można uruchomić za pomocą bash scsh3gui (w przypadku Windows kliknij dwukrotnie na: scsh3gui.cmd).

Gdy narzędzie SCSH3 jest otwarte, powinieneś zobaczyć swój Nitrokey HSM 2 w widoku drzewa. Wykonaj poniższe kroki, aby zaimportować urządzenie:

  • Uruchom menadżera kluczy (File -> Keymanager)

  • Kliknij prawym przyciskiem myszy „Smartcard-HSM” -> create DKEK share

    • Wybierz lokalizację pliku

    • Wybierz hasło udostępniania DKEK

  • Kliknij prawym przyciskiem myszy „Smartcard-HSM” -> Initialize device.

    • Wprowadź SO-PIN

    • (opcjonalnie) Wprowadź etykietę i wprowadź adres URL/Host

    • Wybierz metodę uwierzytelniania: „User PIN”

    • Allow RESET RETRY COUNTER: „Resetowanie i odblokowywanie PIN z SO-PIN niedozwolone”

    • Wprowadź i potwierdź kod PIN użytkownika

    • „Select Device Key Encryption scheme” -> „DKEK shares”

    • Podaj liczbę akcji DKEK: 1

  • Kliknij prawym przyciskiem myszy na DKEK set-up in progress -> „Import DKEK share”

    • Wybierz lokalizację pliku udostępnionego DKEK

    • Hasło do udziału DKEK

  • Kliknij prawym przyciskiem myszy „SmartCard-HSM” -> „Importuj z PKCS#12”

    • Podaj liczbę akcji -> 1

    • Wprowadź lokalizację pliku z udziału DKEK

    • Wprowadź hasło do udziału w DKEK

    • Wybierz kontener PKCS#12 do importu (Wprowadź hasło, jeśli jest ustawione)

    • Wybierz przycisk

    • Wybierz nazwę, która ma być użyta (jest to etykieta używana dla przycisku w urządzeniu)

    • Importuj więcej kluczy, jeśli to konieczne

Po wykonaniu tych czynności można sprawdzić, czy klucze zostały pomyślnie zaimportowane za pomocą:

pkcs15-tool -D

W wynikowym pliku wyjściowym znajdziesz zaimportowane klucze oznaczone wybraną wcześniej nazwą.