PKCS#11 Geração de URLs#

(Nitrokey HSM 2 - macOS)

Várias aplicações utilizam openssl para lidar, por exemplo, com certificados TLS. Este conceito permite na maioria das vezes simplesmente substituir um caminho de arquivo (para o segredo) por um chamado PKCS#11 URL* para usar um segredo de um, por exemplo, Nitrokey.

Preparação#

  • assegurar que openssl` está instalado

  • assegure-se de que openssl` pode usar o motor PKCS#11 instalando `x id="62"></x>`

  • install opensc` e gnutls-bin para ferramentas necessárias

  • verifique se as chaves e/ou certificados necessários estão disponíveis na sua Nitrokey usando pkcs15-tool -D>`

  • se você quiser usar chaves/mecanismos ECC através de libengine-pkcs11-openssl, você’terá de garantir que a sua versão seja pelo menos 0.4.10

Listar e Gerar PKCS#11 URLs#

Use o seguinte comando para obter uma lista de fichas disponíveis (Nitrokeys):

p11tool --list-tokens

Escolha o URL do token (Nitrokey) para o qual você quer gerar e use-o assim:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Se você inspecionar a cauda do URL que você’irá reconhecer: label`, id e mais, estes podem ser parcialmente removidos desde que os objectos necessários possam ser identificados de forma única usando a URL resultante, veja TLS Apache2 Configuration para um exemplo utilizando ``id>x id=»269»></x>` apenas.