Importul cheilor și certificatelor#

(Nitrokey HSM 2 - Linux)

În general, conceptul de a importa perechi de chei și/sau certificate este următorul:

  • Creați o partajare DKEK (Device Key Encryption Key)

  • Inițializați dispozitivul și activați DKEK ca „Device Encryption Scheme”

  • Importați cota DKEK în dispozitiv

  • Importul containerului (containerelor) PKCS#12 în DKEK

Această documentație acoperă doar un caz de utilizare specific și ar trebui să servească drept exemplu pentru fluxul de lucru general. Pentru informații suplimentare, vă rugăm să citiți acest topic și acest articol de blog.

Atenționare

Această procedură va reseta dispozitivul Nitrokey HSM 2 și toate datele de pe acesta vor fi șterse!

Pregătire#

  • asigurați-vă că toate cheile pe care doriți să le importați sunt disponibile sub formă de containere PKCS#12 (.p12) și că știți parola, dacă este necesar.

  • asigurați-vă că nu este nevoie de nimic pe Nitrokey HSM 2 utilizat, acesta va fi șters în timpul acestei proceduri.

  • descărcați cea mai recentă versiune Smart Card Shell și despachetați-o în directorul de lucru.

Importul prin intermediul interfeței grafice SCSH3#

În interiorul directorului despachetat veți găsi scsh3gui, care poate fi pornit folosind bash scsh3gui (pentru Windows faceți dublu clic pe: scsh3gui.cmd).

După ce instrumentul SCSH3 este deschis, ar trebui să vedeți Nitrokey HSM 2 în vizualizarea în copac. Vă rugăm să urmați acești pași pentru a importa:

  • Porniți key-managerul (File -> Keymanager)

  • Faceți clic dreapta pe „Smartcard-HSM” -> creați o partajare DKEK

    • Alegeți locația fișierului

    • Alegeți parola de partajare DKEK

  • Faceți clic dreapta pe „Smartcard-HSM” -> Inițializați dispozitivul

    • Introduceți SO-PIN

    • (opțional) Introduceți eticheta și introduceți URL/Host

    • Selectați metoda de autentificare: „User PIN”

    • Permiteți RESET RETRY COUNTER: „Resetarea și deblocarea PIN-ului cu SO-PIN nu este permisă”

    • Introduceți și confirmați PIN-ul utilizatorului

    • „Select Device Key Encryption scheme” -> „DKEK shares”

    • Introduceți numărul de acțiuni DKEK: 1

  • Faceți clic dreapta pe DKEK set-up in progress -> „Import DKEK share”

    • Alegeți locația fișierului de partajare DKEK

    • Parola pentru partajarea DKEK

  • Faceți clic dreapta pe „SmartCard-HSM” -> „Import from PKCS#12”

    • Introduceți numărul de acțiuni -> 1

    • Introduceți locația fișierului de partajare DKEK

    • Introduceți parola pentru partajarea DKEK

    • Selectați containerul PKCS#12 pentru import (Introduceți parola, dacă este setată)

    • Select Key

    • Selectați numele care urmează să fie utilizat (Aceasta este eticheta utilizată pentru tasta de pe dispozitiv)

    • Importați mai multe chei, dacă este necesar

După ce ați făcut acest lucru, puteți verifica dacă cheile au fost importate cu succes folosind:

pkcs15-tool -D

În rezultatul obținut veți găsi cheile importate etichetate cu numele pe care l-ați ales anterior.