Importowanie kluczy i certyfikatów#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Generalnie koncepcja importu par kluczy i/lub certyfikatów jest następująca:
Utwórz udział DKEK (Device Key Encryption Key)
Zainicjuj urządzenie i włącz DKEK jako „Device Encryption Scheme”
Importuj udział DKEK do urządzenia
Zaimportuj kontener(y) PKCS#12 do DKEK
Ta dokumentacja obejmuje tylko jeden konkretny przypadek użycia i powinna służyć jako przykład dla ogólnego przepływu pracy. Aby uzyskać więcej informacji, proszę przeczytać ten wątek i ten wpis na blogu.
Ostrzeżenie
Ta procedura zresetuje Twoje urządzenie Nitrokey HSM 2 i wszystkie znajdujące się na nim dane zostaną usunięte!
Przygotowanie#
upewnij się, że wszystkie klucze, które chcesz zaimportować są dostępne jako kontenery PKCS#12 (.p12) i znasz hasło, jeśli jest potrzebne
upewnij się, że nic na używanym Nitrokey HSM 2 nie jest potrzebne, zostanie ono usunięte podczas tej procedury
pobierz najnowszy Smart Card Shell i rozpakuj go do katalogu roboczego
Importowanie za pomocą graficznego interfejsu użytkownika SCSH3#
Wewnątrz rozpakowanego katalogu znajduje się scsh3gui
, który można uruchomić za pomocą bash scsh3gui
(w przypadku Windows kliknij dwukrotnie na: scsh3gui.cmd
).
Gdy narzędzie SCSH3 jest otwarte, powinieneś zobaczyć swój Nitrokey HSM 2 w widoku drzewa. Wykonaj poniższe kroki, aby zaimportować urządzenie:
Uruchom menadżera kluczy (File -> Keymanager)
Kliknij prawym przyciskiem myszy „Smartcard-HSM” -> create DKEK share
Wybierz lokalizację pliku
Wybierz hasło udostępniania DKEK
Kliknij prawym przyciskiem myszy „Smartcard-HSM” -> Initialize device.
Wprowadź SO-PIN
(opcjonalnie) Wprowadź etykietę i wprowadź adres URL/Host
Wybierz metodę uwierzytelniania: „User PIN”
Allow RESET RETRY COUNTER: „Resetowanie i odblokowywanie PIN z SO-PIN niedozwolone”
Wprowadź i potwierdź kod PIN użytkownika
„Select Device Key Encryption scheme” -> „DKEK shares”
Podaj liczbę akcji DKEK: 1
Kliknij prawym przyciskiem myszy na DKEK set-up in progress -> „Import DKEK share”
Wybierz lokalizację pliku udostępnionego DKEK
Hasło do udziału DKEK
Kliknij prawym przyciskiem myszy „SmartCard-HSM” -> „Importuj z PKCS#12”
Podaj liczbę akcji -> 1
Wprowadź lokalizację pliku z udziału DKEK
Wprowadź hasło do udziału w DKEK
Wybierz kontener PKCS#12 do importu (Wprowadź hasło, jeśli jest ustawione)
Wybierz przycisk
Wybierz nazwę, która ma być użyta (jest to etykieta używana dla przycisku w urządzeniu)
Importuj więcej kluczy, jeśli to konieczne
Po wykonaniu tych czynności można sprawdzić, czy klucze zostały pomyślnie zaimportowane za pomocą:
pkcs15-tool -D
W wynikowym pliku wyjściowym znajdziesz zaimportowane klucze oznaczone wybraną wcześniej nazwą.