Uvoz ključev in potrdil#
Na splošno je koncept uvoza parov ključev in/ali potrdil naslednji:
Ustvarite delež DKEK (šifrirni ključ ključa naprave)
Inicializirajte napravo in omogočite DKEK kot „Shemo šifriranja naprave“
Uvoz deleža DKEK v napravo
Uvoz vsebnikov PKCS#12 v DKEK
Ta dokumentacija zajema le en poseben primer uporabe in naj bi služila kot primer za celoten potek dela. Za dodatne informacije preberite to temo in to objavo na blogu.
Opozorilo
S tem postopkom boste ponastavili napravo Nitrokey HSM 2 in vsi podatki na njej bodo izbrisani!
Priprava#
poskrbite, da so vsi ključi, ki jih želite uvoziti, na voljo kot vsebniki PKCS#12 (.p12) in da poznate geslo, če je potrebno.
prepričajte se, da na uporabljenem računalniku Nitrokey HSM 2 ne potrebujete ničesar, saj bo med tem postopkom izbrisano.
prenesite najnovejši Smart Card Shell in ga razpakirajte v svoj delovni imenik
Uvoz prek grafičnega vmesnika SCSH3#
V razpakiranem imeniku boste našli scsh3gui
, ki ga lahko zaženete z uporabo bash scsh3gui
(za okna dvakrat kliknite na: scsh3gui.cmd
).
Ko je orodje SCSH3 odprto, morate v drevesnem prikazu videti svoj Nitrokey HSM 2. Za uvoz sledite naslednjim korakom:
Zagon upravitelja ključev (Datoteka -> Upravitelj ključev)
Z desno tipko miške kliknite „Smartcard-HSM“ -> ustvarite delež DKEK
Izberite lokacijo datoteke
Izberite geslo za skupno rabo DKEK
Desni klik „Smartcard-HSM“ -> Inicializacija naprave
Vnesite kodo SO-PIN
(neobvezno) Vnesite nalepko in vnesite naslov URL/Host
Izberite način avtentikacije: „Uporabniški PIN“
Dovolite RESET RETRY COUNTER: „Ponastavitev in odblokiranje kode PIN s kodo SO-PIN ni dovoljeno“
Vnesite in potrdite uporabniško kodo PIN
„Izberite shemo šifriranja ključa naprave“ -> „Delnice DKEK“
Vpišite število delnic DKEK: 1
Z desno tipko miške kliknite DKEK set-up in progress -> „Import DKEK share“
Izberite lokacijo datoteke v skupni rabi DKEK
Geslo za skupno rabo DKEK
Z desno tipko miške kliknite „SmartCard-HSM“ -> „Uvozi iz PKCS#12“
Vpišite število delnic -> 1
Vnesite lokacijo datoteke v skupni rabi DKEK
Vnesite geslo za delež DKEK
Izberite vsebnik PKCS#12 za uvoz (vnesite geslo, če je nastavljeno)
Izberite tipko
Izberite ime, ki se bo uporabljalo (to je oznaka, ki se uporablja za tipko v napravi)
Po potrebi uvozite več ključev
Ko je to opravljeno, lahko preverite, ali so bili ključi uspešno uvoženi z uporabo:
pkcs15-tool -D
V končnem izpisu so uvoženi ključi označeni z imenom, ki ste ga predhodno izbrali.