Generering av PKCS#11 URL-adresser#
Olika program använder openssl för att hantera t.ex. TLS-certifikat. Detta koncept gör det oftast möjligt att helt enkelt ersätta en filväg (för hemligheten) med en s.k. PKCS#11 URL för att använda en hemlighet från t.ex. Nitrokey.
Förberedelse#
se till att
openssl
är installeratse till att
openssl
kan använda PKCS#11-motorn genom att installeralibengine-pkcs11-openssl
.
installera
opensc
ochgnutls-bin
för nödvändiga verktyg.Kontrollera att de nycklar och/eller certifikat du behöver finns tillgängliga på din Nitrokey med hjälp av
pkcs15-tool -D
.Om du vill använda ECC-nycklar/mekanismer genom
libengine-pkcs11-openssl
, måste du se till att dess version är minst 0.4.10.
Lista och generera PKCS#11-URL:er#
Använd följande kommando för att få en lista över tillgängliga tokens (Nitrokeys):
p11tool --list-tokens
Välj den URL för token (Nitrokey) som du vill generera URL-token för och använd den så här:
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
Om du tittar på svansen i URL:en kommer du att känna igen den: label
, id
med flera, dessa kan delvis tas bort så länge de nödvändiga objekten kan identifieras unikt med hjälp av den resulterande webbadressen, se TLS Apache2 Configuration för ett exempel där endast id
används.