Импорт ключей и сертификатов#
В целом, концепция импорта пар ключей и/или сертификатов выглядит следующим образом:
Создайте общий ресурс DKEK (ключ шифрования ключа устройства)
Инициализируйте устройство и включите DKEK как «схему шифрования устройства»
Импортируйте общий ресурс DKEK в устройство
Импорт контейнера(ов) PKCS#12 в DKEK
Эта документация охватывает только один конкретный случай использования и должна служить примером для общего рабочего процесса. Для получения дополнительной информации, пожалуйста, прочитайте эту тему и эту запись в блоге.
Предупреждение
Эта процедура приведет к сбросу устройства Nitrokey HSM 2, и все данные на нем будут удалены!
Подготовка#
убедитесь, что все ключи, которые вы хотите импортировать, доступны в виде контейнеров PKCS#12 (.p12) и вы знаете пароль, если это необходимо
убедитесь, что на используемом Nitrokey HSM 2 ничего не нужно, оно будет удалено во время этой процедуры
скачайте последнюю версию Smart Card Shell и распакуйте ее в свой рабочий каталог
Импорт через графический интерфейс SCSH3#
Внутри распакованного каталога вы найдете scsh3gui
, который можно запустить с помощью bash scsh3gui
(для windows дважды щелкните на: scsh3gui.cmd
).
После открытия SCSH3 Tool вы должны увидеть Nitrokey HSM 2 в древовидном представлении. Выполните следующие шаги для импорта:
Запустите диспетчер ключей (Файл -> Keymanager)
Щелкните правой кнопкой мыши «Smartcard-HSM» -> создать общий ресурс DKEK
Выберите местоположение файла
Выберите пароль общего доступа DKEK
Щелкните правой кнопкой мыши «Smartcard-HSM» -> Инициализировать устройство
Введите SO-PIN
(необязательно) Введите метку и введите URL/Host
Выберите метод аутентификации: «PIN-код пользователя»
Разрешить RESET RETRY COUNTER: «Сброс и разблокировка PIN с помощью SO-PIN не разрешены»
Введите и подтвердите PIN-код пользователя
«Выберите схему шифрования ключа устройства» -> «Доли DKEK»
Введите количество акций DKEK: 1
Щелкните правой кнопкой мыши на выполняющейся настройке DKEK -> «Импортировать общий ресурс DKEK»
Выберите местоположение файла общего доступа DKEK
Пароль для общего доступа к DKEK
Щелкните правой кнопкой мыши «SmartCard-HSM» -> «Импорт из PKCS#12»
Введите количество акций -> 1
Введите расположение файла общего доступа DKEK
Введите пароль для доступа к ресурсу DKEK
Выберите контейнер PKCS#12 для импорта (Введите пароль, если он установлен)
Клавиша выбора
Выберите имя, которое будет использоваться (это метка, используемая для ключа на устройстве).
При необходимости импортируйте дополнительные ключи
После этого можно проверить, что ключи были успешно импортированы:
pkcs15-tool -D
В полученном результате вы найдете импортированные ключи, помеченные именами, которые вы выбрали ранее.