Importowanie kluczy i certyfikatów#

(Nitrokey HSM 2 - macOS)

Generalnie koncepcja importu par kluczy i/lub certyfikatów jest następująca:

  • Utwórz udział DKEK (Device Key Encryption Key)

  • Zainicjuj urządzenie i włącz DKEK jako „Device Encryption Scheme”

  • Importuj udział DKEK do urządzenia

  • Zaimportuj kontener(y) PKCS#12 do DKEK

Ta dokumentacja obejmuje tylko jeden konkretny przypadek użycia i powinna służyć jako przykład dla ogólnego przepływu pracy. Aby uzyskać więcej informacji, proszę przeczytać ten wątek i ten wpis na blogu.

Ostrzeżenie

Ta procedura zresetuje Twoje urządzenie Nitrokey HSM 2 i wszystkie znajdujące się na nim dane zostaną usunięte!

Przygotowanie#

  • upewnij się, że wszystkie klucze, które chcesz zaimportować są dostępne jako kontenery PKCS#12 (.p12) i znasz hasło, jeśli jest potrzebne

  • upewnij się, że nic na używanym Nitrokey HSM 2 nie jest potrzebne, zostanie ono usunięte podczas tej procedury

  • pobierz najnowszy Smart Card Shell i rozpakuj go do katalogu roboczego

Importowanie za pomocą graficznego interfejsu użytkownika SCSH3#

Wewnątrz rozpakowanego katalogu znajduje się scsh3gui, który można uruchomić za pomocą bash scsh3gui (w przypadku Windows kliknij dwukrotnie na: scsh3gui.cmd).

Gdy narzędzie SCSH3 jest otwarte, powinieneś zobaczyć swój Nitrokey HSM 2 w widoku drzewa. Wykonaj poniższe kroki, aby zaimportować urządzenie:

  • Uruchom menadżera kluczy (File -> Keymanager)

  • Kliknij prawym przyciskiem myszy „Smartcard-HSM” -> create DKEK share

    • Wybierz lokalizację pliku

    • Wybierz hasło udostępniania DKEK

  • Kliknij prawym przyciskiem myszy „Smartcard-HSM” -> Initialize device.

    • Wprowadź SO-PIN

    • (opcjonalnie) Wprowadź etykietę i wprowadź adres URL/Host

    • Wybierz metodę uwierzytelniania: „User PIN”

    • Allow RESET RETRY COUNTER: „Resetowanie i odblokowywanie PIN z SO-PIN niedozwolone”

    • Wprowadź i potwierdź kod PIN użytkownika

    • „Select Device Key Encryption scheme” -> „DKEK shares”

    • Podaj liczbę akcji DKEK: 1

  • Kliknij prawym przyciskiem myszy na DKEK set-up in progress -> „Import DKEK share”

    • Wybierz lokalizację pliku udostępnionego DKEK

    • Hasło do udziału DKEK

  • Kliknij prawym przyciskiem myszy „SmartCard-HSM” -> „Importuj z PKCS#12”

    • Podaj liczbę akcji -> 1

    • Wprowadź lokalizację pliku z udziału DKEK

    • Wprowadź hasło do udziału w DKEK

    • Wybierz kontener PKCS#12 do importu (Wprowadź hasło, jeśli jest ustawione)

    • Wybierz przycisk

    • Wybierz nazwę, która ma być użyta (jest to etykieta używana dla przycisku w urządzeniu)

    • Importuj więcej kluczy, jeśli to konieczne

Po wykonaniu tych czynności można sprawdzić, czy klucze zostały pomyślnie zaimportowane za pomocą:

pkcs15-tool -D

W wynikowym pliku wyjściowym znajdziesz zaimportowane klucze oznaczone wybraną wcześniej nazwą.