Nitrokey Documentation

Generowanie adresów URL PKCS#11#

Nitrokey 3	Nitrokey Passkey	Nitrokey FIDO2	Nitrokey U2F	Nitrokey HSM 2	Nitrokey Pro 2	Nitrokey Start	Nitrokey Storage 2
⨯	⨯	⨯	⨯	✓	⨯	⨯	⨯

Różne aplikacje używają openssl do obsługi np. certyfikatów TLS. Ta koncepcja w większości przypadków pozwala po prostu zastąpić ścieżkę do pliku (dla sekretu) tak zwanym PKCS#11 URL, aby użyć sekretu np. z Nitrokey.

Przygotowanie #

upewnij się, że openssl jest zainstalowany
zapewnić openssl możliwość użycia silnika PKCS#11 poprzez instalację libengine-pkcs11-openssl.

zainstalować opensc i gnutls-bin dla potrzebnych narzędzi.
sprawdź, czy Twoje potrzebne klucze i/lub certyfikaty są dostępne na Nitrokey używając pkcs15-tool -D.
jeśli chcesz używać kluczy/mechanizmów ECC przez libengine-pkcs11-openssl, będziesz musiał upewnić się, że jego wersja jest co najmniej 0.4.10

Tworzenie listy i generowanie adresów URL PKCS#11 #

Użyj następującego polecenia, aby uzyskać listę dostępnych tokenów (Nitrokeys):

p11tool --list-tokens

Wybierz adres URL tokena (Nitrokey), dla którego chcesz wygenerować tokeny URL i użyj go w ten sposób:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Jeśli przyjrzysz się ogonowi adresu URL, rozpoznasz: label, id i inne, można je częściowo usunąć, o ile niezbędne obiekty można jednoznacznie zidentyfikować za pomocą wynikowego adresu URL, zob:doc:TLS Apache2 Configuration<apache2-tls> dla przykładu używającego tylko id.