Generering av PKCS#11 URL-adresser

Olika program använder openssl för att hantera t.ex. TLS-certifikat. Detta koncept gör det oftast möjligt att helt enkelt ersätta en filväg (för hemligheten) med en s.k. PKCS#11 URL för att använda en hemlighet från t.ex. Nitrokey.

Förberedelse

  • se till att openssl är installerat

  • se till att openssl kan använda PKCS#11-motorn genom att installera libengine-pkcs11-openssl.

  • installera opensc och gnutls-bin för nödvändiga verktyg.

  • Kontrollera att de nycklar och/eller certifikat du behöver finns tillgängliga på din Nitrokey med hjälp av pkcs15-tool -D.

  • Om du vill använda ECC-nycklar/mekanismer genom libengine-pkcs11-openssl, måste du se till att dess version är minst 0.4.10.

Lista och generera PKCS#11-URL:er

Använd följande kommando för att få en lista över tillgängliga tokens (Nitrokeys):

p11tool --list-tokens

Välj den URL för token (Nitrokey) som du vill generera URL-token för och använd den så här:

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

Om du tittar på svansen i URL:en kommer du att känna igen den: label, id med flera, dessa kan delvis tas bort så länge de nödvändiga objekten kan identifieras unikt med hjälp av den resulterande webbadressen, se TLS Apache2 Configuration för ett exempel där endast id används.