Windows KSP in PKCS#11 s posrednikom PKI¶
Ta dokument pojasnjuje uporabo posredniškega strežnika PKI z NetHSM. PKI Proxy omogoča uporabo NetHSM prek izvirnih vmesnikov API Microsoft Windows. V ta namen PKI Proxy vključuje KSP (Key Storage Provider), ki omogoča uporabo prek vmesnika CNG (Cryptography API: Next Generation). Poleg tega omogoča tudi dostop PKCS#11 do NetHSM, vendar ga lahko uporabite le, če to zahteva vaša nastavitev, na primer če potrebujete dodatne funkcije avtentikacije strežnika PKI Proxy ali če želite uporabiti strežnik PKI Proxy kot prehod, da se izognete neposrednemu izpostavljanju strežnika NetHSM odjemalcem. V vseh drugih primerih uporabite gonilnik NetHSM PKCS#11 neposredno.
Uvedba sistema NetHSM s posredniškim strežnikom PKI je videti takole.
NetHSM zagotavlja API REST, ki ga uporablja gonilnik NetHSM PKCS#11. Proxy PKI uporablja ta gonilnik za povezavo z NetHSM ter dostop do njegovih ključev in potrdil. Odjemalci strežnika PKI Proxy za dostop do ključev in potrdil uporabljajo vmesnik REST API strežnika PKI Proxy. Aplikacije v odjemalcu lahko uporabljajo izvirni API sistema Windows ali gonilnik PKCS#11. Komunikacija med strežnikom NetHSM in strežnikom PKI Proxy ter odjemalci PKI Proxy je šifrirana. Strežnik PKI Proxy in odjemalec se lahko izvajata v istem računalniku.
Možni primeri uporabe te nastavitve so:
Code signing
Document signing
Nasvet
Za več informacij si oglejte tudi uradno dokumentacijo PKI Proxy.
Prerequisits¶
NetHSM (strojna oprema ali zabojnik) - Zagotovljeno - IP naslov NetHSM mora biti znan, vrata HTTPS pa morajo biti dosegljiva.
Računalnik Windows - nameščen in konfiguriran gonilnik Nitrokey NetHSM PKCS#11 (zahteva se samo v strežniku PKI Proxy Server).
Pomembno
Na nekaterih računalnikih se lahko strežnik PKI Proxy Server med postopkom raztovarjanja modula NetHSM PKCS#11 poruši. Gre za napako v odvisnosti modula, ki je izsledena v tej izdaji GitHub. Če naletite na to napako, v konfiguracijski datoteki programa NetHSM PKCS#11 nastavite konfiguracijsko možnost disable_thread_pool na true. Za boljše razumevanje načina konfiguracije si oglejte primer konfiguracijske datoteke.
Proxy PKI - strežnik¶
Strežnik PKI Proxy deli ključe in potrdila iz NetHSM za različne uporabnike.
Namestitev¶
Download the PKI Proxy 2024 installer from the /n software website.
Odprite namestitveni program in sledite čarovniku za namestitev.
V meniju Start odprite Proxy PKI. Če ste ga namestili na privzeto mesto, ga lahko zaženete tudi z naslednjim ukazom iz pogovornega okna Zaženi ali PowerShell.
C:\Program Files\PKI Proxy 2024\PKIProxy.exeOpomba
Program PKI Proxy se pomanjša v sistemsko vrstico, tudi če je glavno okno zaprto.
Service Configuration¶
V spodnjih navodilih je konfiguriran posredniški strežnik PKI.
Open the PKI Proxy main window.
Change to the Settings tab.
Prepričajte se, da je potrditveno polje Omogoči TLS označeno in da je uporabljeno ustrezno potrdilo.
Change to the Users tab.
Ustvarite novega uporabnika s klikom na gumb New…. Izberite vrsto avtentikacije, ki jo podpirajo vsi odjemalci.
V menijski vrstici glavnega okna kliknite gumb Start, da zaženete storitev PKI Proxy.
Publish Certificates from the NetHSM¶
V nadaljevanju konfiguriramo, katera potrdila iz sistema NetHSM so na voljo prek posredniškega strežnika PKI.
Prepričajte se, da je odprto glavno okno posredniškega strežnika PKI.
Change to the Certificates tab.
Kliknite gumb New…. To bo odprlo okno Share Certificate.
Kliknite na gumb Select Certificate or Key… (Izberite potrdilo ali ključ…) v oknu Certificate (Potrdilo). To bo odprlo okno Izberite zasebni ključ.
Preklopite na zavihek Varnostni ključ.
Kliknite gumb Prebrskaj… in izberite datoteko knjižnice gonilnika NetHSM PKCS#11. V besedilnem polju Knjižnica PKCS#11 je zdaj prikazana pot do datoteke knjižnice.
V spustnem meniju Security Key (PKCS#11) izberite režo, ki vsebuje potrdilo. Navedene reže so odvisne od vaše konfiguracije modula PKCS#11.
Click the Open button.
Besedilni seznam pod Certifikati zdaj prikazuje seznam certifikatov in splošnih ključev, ki so na voljo v NetHSM. Izberite potrdilo ali splošni ključ, ki ga želite deliti s posrednikom PKI.
Za potrditev izbire kliknite gumb OK. S tem se boste vrnili v okno Share Certificate. V oknu bodo zdaj prikazane podrobnosti o izbranem potrdilu.
Kliknite na gumb Dodaj… v oknu Access and Permissions. To bo odprlo okno Izberite uporabnika.
V spustnem meniju izberite obstoječega uporabnika ali ustvarite novega z izbiro Ustvari novega uporabnika…. Za potrditev izbire kliknite gumb OK. Če se odločite za ustvarjanje novega uporabnika, se nato prikaže okno New User (Nov uporabnik).
V oknu Share Certificate se prepričajte, da so dovoljene le zahtevane operacije za potrdilo ali splošni ključ. To lahko spremenite s potrditvenimi polji na dnu okvira Access and Permissions.
Za objavo potrdila kliknite gumb OK. S tem se boste vrnili v glavno okno strežnika PKI Proxy.
Seznam besedila pod Certificate Management zdaj prikazuje objavljeno potrdilo.
Pomembno
Prepričajte se, da mehanizmi ključa v skupni rabi v napravi NetHSM omogočajo predvideno uporabo v posredniku PKI.
Posrednik PKI - odjemalec¶
Odjemalska orodja strežnika PKI Proxy omogočajo različne načine dostopa do skupnih ključev in potrdil iz strežnika PKI Proxy.
Nasvet
Strežnik PKI Proxy vsebuje odjemalska orodja. Zato je lahko računalnik, na katerem teče strežnik, tudi odjemalec samega sebe.
Namestitev¶
Prenesite PKI Proxy 2024 - Client Tools s spletne strani /n programske opreme.
Odprite namestitveni program in sledite čarovniku za namestitev.
KSP (Key Storage Provider)¶
Posrednik PKI Proxy zagotavlja KSP za vmesnik s strežnikom PKI Proxy. KSP omogoča uporabo izvornih API-jev Windows z aplikacijami prek vmesnika CNG (Cryptography API: Next Generation). Za več informacij glejte dokumentacijo PKI Proxy.
PKCS#11¶
PKI Proxy zagotavlja modul PKCS#11 za vmesnik s strežnikom PKI Proxy. Za več informacij glejte dokumentacijo PKI Proxy.