Generarea de URL-uri PKCS#11#

(Nitrokey HSM 2 - macOS)

Diferite aplicații utilizează openssl pentru a gestiona, de exemplu, certificatele TLS. Acest concept permite, în principal, înlocuirea simplă a traseului unui fișier (pentru secret) cu un așa-numit PKCS#11 URL pentru a utiliza un secret de la o aplicație, de exemplu, Nitrokey.

Pregătire#

  • asigurați-vă că openssl` este instalat

  • asigurați-vă că openssl` poate utiliza motorul PKCS#11 prin instalarea libengine-pkcs11-openssl<x>

  • instalați opensc și gnutls-bin pentru instrumentele necesare

  • verificați dacă cheile și/sau certificatele necesare sunt disponibile pe Nitrokey folosind pkcs15-tool -D`

  • dacă doriți să folosiți chei/mecanisme ECC prin libengine-pkcs11-openssl, va trebui să vă asigurați că versiunea sa este cel puțin 0.4.10

Lista și generarea de URL-uri PKCS#11#

Utilizați următoarea comandă pentru a obține o listă de jetoane disponibile (Nitrokeys):

p11tool --list-tokens

Alegeți URL-ul token (Nitrokey) pentru care doriți să generați token-uri URL și utilizați-l astfel:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Dacă inspectați coada URL-ului veți recunoaște: label, id și altele, acestea pot fi parțial eliminate atâta timp cât obiectele necesare pot fi identificate în mod unic folosind URL-ul rezultat, vezi TLS Apache2 Configuration pentru un exemplu care utilizează doar `id.