Generowanie adresów URL PKCS#11

Różne aplikacje używają openssl do obsługi np. certyfikatów TLS. Ta koncepcja w większości przypadków pozwala po prostu zastąpić ścieżkę do pliku (dla sekretu) tak zwanym PKCS#11 URL, aby użyć sekretu np. z Nitrokey.

Przygotowanie

  • upewnij się, że openssl jest zainstalowany

  • zapewnić openssl możliwość użycia silnika PKCS#11 poprzez instalację libengine-pkcs11-openssl.

  • zainstalować opensc i gnutls-bin dla potrzebnych narzędzi.

  • sprawdź, czy Twoje potrzebne klucze i/lub certyfikaty są dostępne na Nitrokey używając pkcs15-tool -D.

  • jeśli chcesz używać kluczy/mechanizmów ECC przez libengine-pkcs11-openssl, będziesz musiał upewnić się, że jego wersja jest co najmniej 0.4.10

Tworzenie listy i generowanie adresów URL PKCS#11

Użyj następującego polecenia, aby uzyskać listę dostępnych tokenów (Nitrokeys):

p11tool --list-tokens

Wybierz adres URL tokena (Nitrokey), dla którego chcesz wygenerować tokeny URL i użyj go w ten sposób:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Jeśli przyjrzysz się ogonowi adresu URL, rozpoznasz: label, id i inne, można je częściowo usunąć, o ile niezbędne obiekty można jednoznacznie zidentyfikować za pomocą wynikowego adresu URL, zob:doc:TLS Apache2 Configuration<apache2-tls> dla przykładu używającego tylko id.