Generowanie adresów URL PKCS#11¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
Różne aplikacje używają openssl do obsługi np. certyfikatów TLS. Ta koncepcja w większości przypadków pozwala po prostu zastąpić ścieżkę do pliku (dla sekretu) tak zwanym PKCS#11 URL, aby użyć sekretu np. z Nitrokey.
Przygotowanie¶
upewnij się, że
openssljest zainstalowanyzapewnić
opensslmożliwość użycia silnika PKCS#11 poprzez instalacjęlibengine-pkcs11-openssl.
zainstalować
openscignutls-bindla potrzebnych narzędzi.sprawdź, czy Twoje potrzebne klucze i/lub certyfikaty są dostępne na Nitrokey używając
pkcs15-tool -D.jeśli chcesz używać kluczy/mechanizmów ECC przez
libengine-pkcs11-openssl, będziesz musiał upewnić się, że jego wersja jest co najmniej 0.4.10
Tworzenie listy i generowanie adresów URL PKCS#11¶
Użyj następującego polecenia, aby uzyskać listę dostępnych tokenów (Nitrokeys):
p11tool --list-tokens
Wybierz adres URL tokena (Nitrokey), dla którego chcesz wygenerować tokeny URL i użyj go w ten sposób:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Jeśli przyjrzysz się ogonowi adresu URL, rozpoznasz: label, id i inne, można je częściowo usunąć, o ile niezbędne obiekty można jednoznacznie zidentyfikować za pomocą wynikowego adresu URL, zob:doc:TLS Apache2 Configuration<apache2-tls> dla przykładu używającego tylko id.