Generowanie adresów URL PKCS#11#
Różne aplikacje używają openssl do obsługi np. certyfikatów TLS. Ta koncepcja w większości przypadków pozwala po prostu zastąpić ścieżkę do pliku (dla sekretu) tak zwanym PKCS#11 URL, aby użyć sekretu np. z Nitrokey.
Przygotowanie#
upewnij się, że
openssl
jest zainstalowanyzapewnić
openssl
możliwość użycia silnika PKCS#11 poprzez instalacjęlibengine-pkcs11-openssl
.
zainstalować
opensc
ignutls-bin
dla potrzebnych narzędzi.sprawdź, czy Twoje potrzebne klucze i/lub certyfikaty są dostępne na Nitrokey używając
pkcs15-tool -D
.jeśli chcesz używać kluczy/mechanizmów ECC przez
libengine-pkcs11-openssl
, będziesz musiał upewnić się, że jego wersja jest co najmniej 0.4.10
Tworzenie listy i generowanie adresów URL PKCS#11#
Użyj następującego polecenia, aby uzyskać listę dostępnych tokenów (Nitrokeys):
p11tool --list-tokens
Wybierz adres URL tokena (Nitrokey), dla którego chcesz wygenerować tokeny URL i użyj go w ten sposób:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Jeśli przyjrzysz się ogonowi adresu URL, rozpoznasz: label
, id
i inne, można je częściowo usunąć, o ile niezbędne obiekty można jednoznacznie zidentyfikować za pomocą wynikowego adresu URL, zob:doc:TLS Apache2 Configuration<apache2-tls> dla przykładu używającego tylko id
.