Chaves e Certificados de Importação#

(Nitrokey HSM 2 - macOS)

Geralmente o conceito de importação de pares de chaves e/ou certificados é o seguinte:

  • Criar uma partilha DKEK (Device Key Encryption Key)

  • Inicializar o dispositivo e ativar o DKEK como «Device Encryption Scheme»

  • Importar a quota DKEK para o dispositivo

  • Importar contentor(es) PKCS#12 para DKEK

Esta documentação cobre apenas um caso de uso específico e deve servir como exemplo para o fluxo de trabalho geral. Para mais informações, leia este tópico e este post de blog.

Aviso

Este procedimento irá reiniciar o seu dispositivo Nitrokey HSM 2 e todos os dados nele contidos serão apagados!

Preparação#

  • certifique-se de que todas as chaves que você gostaria de importar estão disponíveis como recipientes PKCS#12 (.p12) e você sabe a senha, se necessário

  • certifique-se de que nada sobre o Nitrokey HSM 2 usado é necessário, ele será apagado durante este procedimento

  • baixe o último Smart Card Shell e descompacte-o no seu diretório de trabalho

Importação através do GUI SCSH3#

Dentro do diretório desempacotado você encontrará scsh3gui, que pode ser iniciado usando bash scsh3gui (para janelas clique duas vezes em cima: scsh3gui.cmd`).

Quando a Ferramenta SCSH3 estiver aberta, deverá ver o seu Nitrokey HSM 2 dentro da vista em árvore. Por favor, siga estes passos para importar:

  • Iniciar o key-manager (Arquivo -> Keymanager)

  • Clique com o botão direito «Smartcard-HSM» -> criar DKEK share

    • Escolha a localização do arquivo

    • Escolha a senha de compartilhamento DKEK

  • Clique com o botão direito » Smartcard-HSM» -> Inicializar dispositivo

    • Digite SO-PIN

    • (opcional) Introduza a etiqueta e introduza o URL/Anfitrião

    • Seleccione o método de autenticação: «PIN» do utilizador;

    • Permitir o RESET RETRY COUNTER: «Não é permitido reiniciar e desbloquear o PIN com SO-PIN»

    • Digite e confirme o PIN do usuário

    • «Select Device Key Encryption scheme» -> » «DKEK shares»

    • Introduza o número de acções da DKEK: 1

  • Clique com o botão direito do mouse na configuração DKEK em andamento -> «Importar DKEK share»

    • Escolha a localização do ficheiro de partilha DKEK

    • Palavra-passe para a acção DKEK

  • Clique com o botão direito «SmartCard-HSM» -> «Importar de PKCS#12»

    • Digite o número de ações -> 1

    • Introduza a localização do ficheiro de partilha DKEK

    • Digite a senha para a ação DKEK

    • Selecione o recipiente PKCS#12 para importação (Insira a senha, se definida)

    • Selecione a chave

    • Selecione Nome a ser usado (Esta é a Etiqueta usada para a chave no dispositivo)

    • Importar mais chaves, se necessário

Uma vez feito isso, você pode verificar se as chaves foram importadas com sucesso usando:

pkcs15-tool -D

Na saída resultante você encontrará as chaves importadas rotuladas com o nome que você escolheu anteriormente.