Importovanie kľúčov a certifikátov#

Koncepcia importu párov kľúčov a/alebo certifikátov je vo všeobecnosti nasledovná:

 • Vytvorenie zdieľaného kľúča DKEK (Device Key Encryption Key)

 • Inicializujte zariadenie a povoľte DKEK ako „Device Encryption Scheme“

 • Importovať podiel DKEK do zariadenia

 • Import kontajnera(-ov) PKCS#12 do DKEK

Táto dokumentácia sa týka len jedného konkrétneho prípadu použitia a mala by slúžiť ako príklad celkového pracovného postupu. Ďalšie informácie nájdete v tomto vlákne a tomto príspevku na blogu.

Varovanie

Týmto postupom sa zariadenie Nitrokey HSM 2 resetuje a všetky údaje v ňom sa vymažú!

Príprava#

 • uistite sa, že všetky kľúče, ktoré chcete importovať, sú k dispozícii ako kontajnery PKCS#12 (.p12) a v prípade potreby poznáte heslo.

 • uistite sa, že na použitom zariadení Nitrokey HSM 2 nie je nič potrebné, počas tohto postupu bude vymazané.

 • stiahnite si najnovší Smart Card Shell a rozbaľte ho do pracovného adresára

Importovanie prostredníctvom grafického rozhrania SCSH3#

Vo vnútri rozbaleného adresára nájdete scsh3gui, ktorý môžete spustiť pomocou bash scsh3gui (pre Windows dvakrát kliknite na: scsh3gui.cmd).

Po otvorení nástroja SCSH3 by ste mali vidieť svoj Nitrokey HSM 2 v stromovom zobrazení. Pri importe postupujte podľa nasledujúcich krokov:

 • Spustite key-manager (File -> Keymanager)

 • Kliknite pravým tlačidlom myši „Smartcard-HSM“ -> vytvoriť podiel DKEK

  • Výber umiestnenia súboru

  • Výber hesla zdieľania DKEK

 • Kliknite pravým tlačidlom myši „Smartcard-HSM“ -> Inicializovať zariadenie

  • Zadajte SO-PIN

  • (voliteľné) Zadajte štítok a zadajte adresu URL/Host

  • Vyberte metódu overovania: „PIN používateľa“

  • Povoliť RESET RETRY COUNTER: „Resetovanie a odblokovanie PIN kódu pomocou SO-PIN kódu nie je povolené“

  • Zadajte a potvrďte kód PIN používateľa

  • „Vyberte schému šifrovania kľúčov zariadenia“ -> „Akcie DKEK“

  • Zadajte počet akcií DKEK: 1

 • Kliknite pravým tlačidlom myši na prebiehajúce nastavenie DKEK -> „Importovať podiel DKEK“

  • Výber umiestnenia zdieľaného súboru DKEK

  • Heslo pre zdieľanie DKEK

 • Kliknite pravým tlačidlom myši na „SmartCard-HSM“ -> „Importovať z PKCS#12“

  • Zadajte počet akcií -> 1

  • Zadajte umiestnenie zdieľaného súboru DKEK

  • Zadajte heslo pre zdieľanie DKEK

  • Vyberte kontajner PKCS#12 na import (zadajte heslo, ak je nastavené)

  • Vyberte kľúč

  • Vyberte názov, ktorý sa má použiť (toto je označenie použité pre kľúč v zariadení)

  • Import ďalších kľúčov, ak je to potrebné

Po dokončení tohto postupu môžete skontrolovať, či boli kľúče úspešne importované pomocou:

pkcs15-tool -D

Vo výslednom výstupe nájdete importované kľúče označené názvom, ktorý ste predtým vybrali.