Generarea de URL-uri PKCS#11¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
Diferite aplicații utilizează openssl pentru a gestiona, de exemplu, certificatele TLS. Acest concept permite, în principal, înlocuirea simplă a traseului unui fișier (pentru secret) cu un așa-numit PKCS#11 URL pentru a utiliza un secret de la o aplicație, de exemplu, Nitrokey.
Pregătire¶
asigurați-vă că
openssl`
este instalatasigurați-vă că
openssl`
poate utiliza motorul PKCS#11 prin instalarealibengine-pkcs11-openssl<x>
instalați
opensc
șignutls-bin
pentru instrumentele necesareverificați dacă cheile și/sau certificatele necesare sunt disponibile pe Nitrokey folosind
pkcs15-tool -D`
dacă doriți să folosiți chei/mecanisme ECC prin
libengine-pkcs11-openssl
, va trebui să vă asigurați că versiunea sa este cel puțin 0.4.10
Lista și generarea de URL-uri PKCS#11¶
Utilizați următoarea comandă pentru a obține o listă de jetoane disponibile (Nitrokeys):
p11tool --list-tokens
Alegeți URL-ul token (Nitrokey) pentru care doriți să generați token-uri URL și utilizați-l astfel:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Dacă inspectați coada URL-ului veți recunoaște: label
, id
și altele, acestea pot fi parțial eliminate atâta timp cât obiectele necesare pot fi identificate în mod unic folosind URL-ul rezultat, vezi TLS Apache2 Configuration pentru un exemplu care utilizează doar `id
.