Importovanie kľúčov a certifikátov

Koncepcia importu párov kľúčov a/alebo certifikátov je vo všeobecnosti nasledovná:

  • Vytvorenie zdieľaného kľúča DKEK (Device Key Encryption Key)

  • Inicializujte zariadenie a povoľte DKEK ako „Device Encryption Scheme“

  • Importovať podiel DKEK do zariadenia

  • Import kontajnera(-ov) PKCS#12 do DKEK

Táto dokumentácia sa týka len jedného konkrétneho prípadu použitia a mala by slúžiť ako príklad celkového pracovného postupu. Ďalšie informácie nájdete v tomto vlákne a tomto príspevku na blogu.

Varovanie

Týmto postupom sa zariadenie Nitrokey HSM 2 resetuje a všetky údaje v ňom sa vymažú!

Príprava

  • uistite sa, že všetky kľúče, ktoré chcete importovať, sú k dispozícii ako kontajnery PKCS#12 (.p12) a v prípade potreby poznáte heslo.

  • uistite sa, že na použitom zariadení Nitrokey HSM 2 nie je nič potrebné, počas tohto postupu bude vymazané.

  • stiahnite si najnovší Smart Card Shell a rozbaľte ho do pracovného adresára

Importovanie prostredníctvom grafického rozhrania SCSH3

Vo vnútri rozbaleného adresára nájdete scsh3gui, ktorý môžete spustiť pomocou bash scsh3gui (pre Windows dvakrát kliknite na: scsh3gui.cmd).

Po otvorení nástroja SCSH3 by ste mali vidieť svoj Nitrokey HSM 2 v stromovom zobrazení. Pri importe postupujte podľa nasledujúcich krokov:

  • Spustite key-manager (File -> Keymanager)

  • Kliknite pravým tlačidlom myši „Smartcard-HSM“ -> vytvoriť podiel DKEK

    • Výber umiestnenia súboru

    • Výber hesla zdieľania DKEK

  • Kliknite pravým tlačidlom myši „Smartcard-HSM“ -> Inicializovať zariadenie

    • Zadajte SO-PIN

    • (voliteľné) Zadajte štítok a zadajte adresu URL/Host

    • Vyberte metódu overovania: „PIN používateľa“

    • Povoliť RESET RETRY COUNTER: „Resetovanie a odblokovanie PIN kódu pomocou SO-PIN kódu nie je povolené“

    • Zadajte a potvrďte kód PIN používateľa

    • „Vyberte schému šifrovania kľúčov zariadenia“ -> „Akcie DKEK“

    • Zadajte počet akcií DKEK: 1

  • Kliknite pravým tlačidlom myši na prebiehajúce nastavenie DKEK -> „Importovať podiel DKEK“

    • Výber umiestnenia zdieľaného súboru DKEK

    • Heslo pre zdieľanie DKEK

  • Kliknite pravým tlačidlom myši na „SmartCard-HSM“ -> „Importovať z PKCS#12“

    • Zadajte počet akcií -> 1

    • Zadajte umiestnenie zdieľaného súboru DKEK

    • Zadajte heslo pre zdieľanie DKEK

    • Vyberte kontajner PKCS#12 na import (zadajte heslo, ak je nastavené)

    • Vyberte kľúč

    • Vyberte názov, ktorý sa má použiť (toto je označenie použité pre kľúč v zariadení)

    • Import ďalších kľúčov, ak je to potrebné

Po dokončení tohto postupu môžete skontrolovať, či boli kľúče úspešne importované pomocou:

pkcs15-tool -D

Vo výslednom výstupe nájdete importované kľúče označené názvom, ktorý ste predtým vybrali.