Chaves e Certificados de Importação#
Geralmente o conceito de importação de pares de chaves e/ou certificados é o seguinte:
Criar uma partilha DKEK (Device Key Encryption Key)
Inicializar o dispositivo e ativar o DKEK como «Device Encryption Scheme»
Importar a quota DKEK para o dispositivo
Importar contentor(es) PKCS#12 para DKEK
Esta documentação cobre apenas um caso de uso específico e deve servir como exemplo para o fluxo de trabalho geral. Para mais informações, leia este tópico e este post de blog.
Aviso
Este procedimento irá reiniciar o seu dispositivo Nitrokey HSM 2 e todos os dados nele contidos serão apagados!
Preparação#
certifique-se de que todas as chaves que você gostaria de importar estão disponíveis como recipientes PKCS#12 (.p12) e você sabe a senha, se necessário
certifique-se de que nada sobre o Nitrokey HSM 2 usado é necessário, ele será apagado durante este procedimento
baixe o último Smart Card Shell e descompacte-o no seu diretório de trabalho
Importação através do GUI SCSH3#
Dentro do diretório desempacotado você encontrará scsh3gui
, que pode ser iniciado usando bash scsh3gui
(para janelas clique duas vezes em cima: scsh3gui.cmd`
).
Quando a Ferramenta SCSH3 estiver aberta, deverá ver o seu Nitrokey HSM 2 dentro da vista em árvore. Por favor, siga estes passos para importar:
Iniciar o key-manager (Arquivo -> Keymanager)
Clique com o botão direito «Smartcard-HSM» -> criar DKEK share
Escolha a localização do arquivo
Escolha a senha de compartilhamento DKEK
Clique com o botão direito » Smartcard-HSM» -> Inicializar dispositivo
Digite SO-PIN
(opcional) Introduza a etiqueta e introduza o URL/Anfitrião
Seleccione o método de autenticação: «PIN» do utilizador;
Permitir o RESET RETRY COUNTER: «Não é permitido reiniciar e desbloquear o PIN com SO-PIN»
Digite e confirme o PIN do usuário
«Select Device Key Encryption scheme» -> » «DKEK shares»
Introduza o número de acções da DKEK: 1
Clique com o botão direito do mouse na configuração DKEK em andamento -> «Importar DKEK share»
Escolha a localização do ficheiro de partilha DKEK
Palavra-passe para a acção DKEK
Clique com o botão direito «SmartCard-HSM» -> «Importar de PKCS#12»
Digite o número de ações -> 1
Introduza a localização do ficheiro de partilha DKEK
Digite a senha para a ação DKEK
Selecione o recipiente PKCS#12 para importação (Insira a senha, se definida)
Selecione a chave
Selecione Nome a ser usado (Esta é a Etiqueta usada para a chave no dispositivo)
Importar mais chaves, se necessário
Uma vez feito isso, você pode verificar se as chaves foram importadas com sucesso usando:
pkcs15-tool -D
Na saída resultante você encontrará as chaves importadas rotuladas com o nome que você escolheu anteriormente.