Uvoz ključev in potrdil#

(Nitrokey HSM 2 - Windows)

Na splošno je koncept uvoza parov ključev in/ali potrdil naslednji:

  • Ustvarite delež DKEK (šifrirni ključ ključa naprave)

  • Inicializirajte napravo in omogočite DKEK kot „Shemo šifriranja naprave“

  • Uvoz deleža DKEK v napravo

  • Uvoz vsebnikov PKCS#12 v DKEK

Ta dokumentacija zajema le en poseben primer uporabe in naj bi služila kot primer za celoten potek dela. Za dodatne informacije preberite to temo in to objavo na blogu.

Opozorilo

S tem postopkom boste ponastavili napravo Nitrokey HSM 2 in vsi podatki na njej bodo izbrisani!

Priprava#

  • poskrbite, da so vsi ključi, ki jih želite uvoziti, na voljo kot vsebniki PKCS#12 (.p12) in da poznate geslo, če je potrebno.

  • prepričajte se, da na uporabljenem računalniku Nitrokey HSM 2 ne potrebujete ničesar, saj bo med tem postopkom izbrisano.

  • prenesite najnovejši Smart Card Shell in ga razpakirajte v svoj delovni imenik

Uvoz prek grafičnega vmesnika SCSH3#

V razpakiranem imeniku boste našli scsh3gui, ki ga lahko zaženete z uporabo bash scsh3gui (za okna dvakrat kliknite na: scsh3gui.cmd).

Ko je orodje SCSH3 odprto, morate v drevesnem prikazu videti svoj Nitrokey HSM 2. Za uvoz sledite naslednjim korakom:

  • Zagon upravitelja ključev (Datoteka -> Upravitelj ključev)

  • Z desno tipko miške kliknite „Smartcard-HSM“ -> ustvarite delež DKEK

    • Izberite lokacijo datoteke

    • Izberite geslo za skupno rabo DKEK

  • Desni klik „Smartcard-HSM“ -> Inicializacija naprave

    • Vnesite kodo SO-PIN

    • (neobvezno) Vnesite nalepko in vnesite naslov URL/Host

    • Izberite način avtentikacije: „Uporabniški PIN“

    • Dovolite RESET RETRY COUNTER: „Ponastavitev in odblokiranje kode PIN s kodo SO-PIN ni dovoljeno“

    • Vnesite in potrdite uporabniško kodo PIN

    • „Izberite shemo šifriranja ključa naprave“ -> „Delnice DKEK“

    • Vpišite število delnic DKEK: 1

  • Z desno tipko miške kliknite DKEK set-up in progress -> „Import DKEK share“

    • Izberite lokacijo datoteke v skupni rabi DKEK

    • Geslo za skupno rabo DKEK

  • Z desno tipko miške kliknite „SmartCard-HSM“ -> „Uvozi iz PKCS#12“

    • Vpišite število delnic -> 1

    • Vnesite lokacijo datoteke v skupni rabi DKEK

    • Vnesite geslo za delež DKEK

    • Izberite vsebnik PKCS#12 za uvoz (vnesite geslo, če je nastavljeno)

    • Izberite tipko

    • Izberite ime, ki se bo uporabljalo (to je oznaka, ki se uporablja za tipko v napravi)

    • Po potrebi uvozite več ključev

Ko je to opravljeno, lahko preverite, ali so bili ključi uspešno uvoženi z uporabo:

pkcs15-tool -D

V končnem izpisu so uvoženi ključi označeni z imenom, ki ste ga predhodno izbrali.