Генерация URL PKCS#11¶
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Различные приложения используют openssl для работы, например, с сертификатами TLS. Эта концепция в основном позволяет просто заменить путь к файлу (для секрета) на так называемый PKCS#11 URL, чтобы использовать секрет из, например, Nitrokey.
Подготовка¶
убедитесь, что
openssl
установленобеспечить
openssl
возможность использования механизма PKCS#11, установивlibengine-pkcs11-openssl
.
установите
opensc
иgnutls-bin
для необходимых инструментовубедитесь, что необходимые ключи и/или сертификаты доступны на вашем Nitrokey, используя
pkcs15-tool -D
.если вы хотите использовать ключи/механизмы ECC через
libengine-pkcs11-openssl
, вам’придется убедиться, что его версия не ниже 0.4.10
Список и генерация URL-адресов PKCS#11¶
Используйте следующую команду, чтобы получить список доступных токенов (Nitrokeys):
p11tool --list-tokens
Выберите URL-адрес токена (Nitrokey), для которого вы хотите сгенерировать URL-токены, и используйте его следующим образом:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Если вы посмотрите на хвост URL, то узнаете: label
, id
и многое другое, они могут быть частично удалены, пока необходимые объекты могут быть однозначно идентифицированы по результирующему URL, см TLS Apache2 Configuration для примера использования только id
.