Importovanie kľúčov a certifikátov¶
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Koncepcia importu párov kľúčov a/alebo certifikátov je vo všeobecnosti nasledovná:
Vytvorenie zdieľaného kľúča DKEK (Device Key Encryption Key)
Inicializujte zariadenie a povoľte DKEK ako „Device Encryption Scheme“
Importovať podiel DKEK do zariadenia
Import kontajnera(-ov) PKCS#12 do DKEK
Táto dokumentácia sa týka len jedného konkrétneho prípadu použitia a mala by slúžiť ako príklad celkového pracovného postupu. Ďalšie informácie nájdete v tomto vlákne a tomto príspevku na blogu.
Varovanie
Týmto postupom sa zariadenie Nitrokey HSM 2 resetuje a všetky údaje v ňom sa vymažú!
Príprava¶
uistite sa, že všetky kľúče, ktoré chcete importovať, sú k dispozícii ako kontajnery PKCS#12 (.p12) a v prípade potreby poznáte heslo.
uistite sa, že na použitom zariadení Nitrokey HSM 2 nie je nič potrebné, počas tohto postupu bude vymazané.
stiahnite si najnovší Smart Card Shell a rozbaľte ho do pracovného adresára
Importovanie prostredníctvom grafického rozhrania SCSH3¶
Vo vnútri rozbaleného adresára nájdete scsh3gui
, ktorý môžete spustiť pomocou bash scsh3gui
(pre Windows dvakrát kliknite na: scsh3gui.cmd
).
Po otvorení nástroja SCSH3 by ste mali vidieť svoj Nitrokey HSM 2 v stromovom zobrazení. Pri importe postupujte podľa nasledujúcich krokov:
Spustite key-manager (File -> Keymanager)
Kliknite pravým tlačidlom myši „Smartcard-HSM“ -> vytvoriť podiel DKEK
Výber umiestnenia súboru
Výber hesla zdieľania DKEK
Kliknite pravým tlačidlom myši „Smartcard-HSM“ -> Inicializovať zariadenie
Zadajte SO-PIN
(voliteľné) Zadajte štítok a zadajte adresu URL/Host
Vyberte metódu overovania: „PIN používateľa“
Povoliť RESET RETRY COUNTER: „Resetovanie a odblokovanie PIN kódu pomocou SO-PIN kódu nie je povolené“
Zadajte a potvrďte kód PIN používateľa
„Vyberte schému šifrovania kľúčov zariadenia“ -> „Akcie DKEK“
Zadajte počet akcií DKEK: 1
Kliknite pravým tlačidlom myši na prebiehajúce nastavenie DKEK -> „Importovať podiel DKEK“
Výber umiestnenia zdieľaného súboru DKEK
Heslo pre zdieľanie DKEK
Kliknite pravým tlačidlom myši na „SmartCard-HSM“ -> „Importovať z PKCS#12“
Zadajte počet akcií -> 1
Zadajte umiestnenie zdieľaného súboru DKEK
Zadajte heslo pre zdieľanie DKEK
Vyberte kontajner PKCS#12 na import (zadajte heslo, ak je nastavené)
Vyberte kľúč
Vyberte názov, ktorý sa má použiť (toto je označenie použité pre kľúč v zariadení)
Import ďalších kľúčov, ak je to potrebné
Po dokončení tohto postupu môžete skontrolovať, či boli kľúče úspešne importované pomocou:
pkcs15-tool -D
Vo výslednom výstupe nájdete importované kľúče označené názvom, ktorý ste predtým vybrali.