Импорт ключей и сертификатов#

В целом, концепция импорта пар ключей и/или сертификатов выглядит следующим образом:

  • Создайте общий ресурс DKEK (ключ шифрования ключа устройства)

  • Инициализируйте устройство и включите DKEK как «схему шифрования устройства»

  • Импортируйте общий ресурс DKEK в устройство

  • Импорт контейнера(ов) PKCS#12 в DKEK

Эта документация охватывает только один конкретный случай использования и должна служить примером для общего рабочего процесса. Для получения дополнительной информации, пожалуйста, прочитайте эту тему и эту запись в блоге.

Предупреждение

Эта процедура приведет к сбросу устройства Nitrokey HSM 2, и все данные на нем будут удалены!

Подготовка#

  • убедитесь, что все ключи, которые вы хотите импортировать, доступны в виде контейнеров PKCS#12 (.p12) и вы знаете пароль, если это необходимо

  • убедитесь, что на используемом Nitrokey HSM 2 ничего не нужно, оно будет удалено во время этой процедуры

  • скачайте последнюю версию Smart Card Shell и распакуйте ее в свой рабочий каталог

Импорт через графический интерфейс SCSH3#

Внутри распакованного каталога вы найдете scsh3gui, который можно запустить с помощью bash scsh3gui (для windows дважды щелкните на: scsh3gui.cmd).

После открытия SCSH3 Tool вы должны увидеть Nitrokey HSM 2 в древовидном представлении. Выполните следующие шаги для импорта:

  • Запустите диспетчер ключей (Файл -> Keymanager)

  • Щелкните правой кнопкой мыши «Smartcard-HSM» -> создать общий ресурс DKEK

    • Выберите местоположение файла

    • Выберите пароль общего доступа DKEK

  • Щелкните правой кнопкой мыши «Smartcard-HSM» -> Инициализировать устройство

    • Введите SO-PIN

    • (необязательно) Введите метку и введите URL/Host

    • Выберите метод аутентификации: «PIN-код пользователя»

    • Разрешить RESET RETRY COUNTER: «Сброс и разблокировка PIN с помощью SO-PIN не разрешены»

    • Введите и подтвердите PIN-код пользователя

    • «Выберите схему шифрования ключа устройства» -> «Доли DKEK»

    • Введите количество акций DKEK: 1

  • Щелкните правой кнопкой мыши на выполняющейся настройке DKEK -> «Импортировать общий ресурс DKEK»

    • Выберите местоположение файла общего доступа DKEK

    • Пароль для общего доступа к DKEK

  • Щелкните правой кнопкой мыши «SmartCard-HSM» -> «Импорт из PKCS#12»

    • Введите количество акций -> 1

    • Введите расположение файла общего доступа DKEK

    • Введите пароль для доступа к ресурсу DKEK

    • Выберите контейнер PKCS#12 для импорта (Введите пароль, если он установлен)

    • Клавиша выбора

    • Выберите имя, которое будет использоваться (это метка, используемая для ключа на устройстве).

    • При необходимости импортируйте дополнительные ключи

После этого можно проверить, что ключи были успешно импортированы:

pkcs15-tool -D

В полученном результате вы найдете импортированные ключи, помеченные именами, которые вы выбрали ранее.