Generovanie adries URL PKCS#11

Rôzne aplikácie používajú openssl napr. na spracovanie certifikátov TLS. Tento koncept väčšinou umožňuje jednoducho nahradiť cestu k súboru (pre tajný údaj) takzvanou PKCS#11 URL a použiť tajný údaj napr. z Nitrokey.

Príprava

  • zabezpečiť, aby bol nainštalovaný openssl

  • zabezpečiť openssl môže používať PKCS#11 engine inštaláciou libengine-pkcs11-openssl

  • nainštalujte opensc a gnutls-bin pre potrebné nástroje

  • overte, či sú potrebné kľúče a/alebo certifikáty dostupné na vašom Nitrokey pomocou pkcs15-tool -D

  • ak chcete používať kľúče/mechanizmy ECC prostredníctvom libengine-pkcs11-openssl, musíte zabezpečiť, aby jeho verzia bola aspoň 0.4.10

Zoznam a generovanie adries URL PKCS#11

Na získanie zoznamu dostupných tokenov (Nitrokeys) použite nasledujúci príkaz:

p11tool --list-tokens

Vyberte adresu URL tokenu (Nitrokey), pre ktorú chcete generovať tokeny URL, a použite ju takto:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Ak skontrolujete chvost adresy URL, spoznáte: label, id a ďalšie, tie je možné čiastočne odstrániť, pokiaľ je možné potrebné objekty jednoznačne identifikovať pomocou výslednej adresy URL, pozri TLS Apache2 Configuration, kde nájdete príklad, v ktorom sa používa iba id.