Windows KSP och PKCS#11 med PKI Proxy¶
Detta dokument förklarar användningen av PKI Proxy med NetHSM. PKI Proxy möjliggör användning av NetHSM via de inbyggda Microsoft Windows API:erna. För detta ändamål innehåller PKI Proxy en KSP (Key Storage Provider) som gör det möjligt att använda den via CNG-gränssnittet (Cryptography API: Next Generation). Dessutom ger den PKCS#11-åtkomst till NetHSM, men detta bör endast användas om din installation kräver det, t.ex. om du behöver de ytterligare autentiseringsfunktionerna i PKI Proxy, eller om du vill använda PKI Proxy som en gateway för att undvika att exponera NetHSM för klienter direkt. I alla andra fall ska du använda NetHSM PKCS#11-drivrutinen direkt.
Driftsättningen av NetHSM med PKI Proxy ser ut så här.
NetHSM tillhandahåller REST API som används av NetHSM PKCS#11-drivrutinen. PKI Proxy använder denna drivrutin för att ansluta till NetHSM och få tillgång till dess nycklar och certifikat. Klienter till PKI Proxy använder PKI Proxy-serverns REST API för att få åtkomst till nycklar och certifikat. Applikationer på klienten kan antingen använda det inbyggda Windows API:et eller en PKCS#11-drivrutin. Kommunikationen mellan NetHSM och PKI Proxy-servern och PKI Proxy-klienterna är krypterad. PKI Proxy-servern och -klienten kan köras på samma dator.
Möjliga användningsfall för denna inställning är:
Code signing
Document signing
Tips
Mer information finns även i den officiella dokumentationen PKI Proxy.
Prerequisits¶
NetHSM (hårdvara eller containeriserad) - Provisionerad - IP-adressen för NetHSM måste vara känd och HTTPS-porten måste vara nåbar.
Windows-dator - Nitrokey NetHSM PKCS#11-drivrutin installerad och konfigurerad (krävs endast på PKI Proxy Server).
Viktigt
På vissa maskiner kan PKI Proxy Server krascha under avlastningsproceduren av NetHSM PKCS#11-modulen. Detta är en bugg i ett beroende av modulen och spåras i detta GitHub-problem. Om du stöter på denna bugg ska du ställa in disable_thread_pool konfigurationsalternativ till true i din NetHSM PKCS#11-konfigurationsfil. Se exempel på konfigurationsfil för en bättre förståelse av hur du konfigurerar den.
PKI Proxy - Server¶
PKI Proxy-servern delar nycklar och certifikat från en NetHSM för olika användare.
Installation¶
Download the PKI Proxy 2024 installer from the /n software website.
Öppna installationsprogrammet och följ installationsguiden.
Öppna PKI Proxy från Start-menyn. Om du installerade den på standardplatsen kan du också köra den med följande kommando från dialogrutan Run eller PowerShell.
C:\Program Files\PKI Proxy 2024\PKIProxy.exeObservera
PKI Proxy minimeras till systemfältet, även om huvudfönstret är stängt.
Service Configuration¶
I instruktionerna nedan konfigureras PKI Proxy.
Open the PKI Proxy main window.
Change to the Settings tab.
Kontrollera att kryssrutan Enable TLS är markerad och att ett lämpligt certifikat används.
Change to the Users tab.
Skapa en ny användare genom att klicka på knappen New…. Välj en autentiseringstyp som stöds av alla klienter.
Klicka på knappen Starta i huvudfönstrets menyrad för att starta PKI Proxy-tjänsten.
Publish Certificates from the NetHSM¶
I det följande konfigurerar vi vilka certifikat från NetHSM som ska göras tillgängliga via PKI Proxy.
Kontrollera att huvudfönstret för PKI Proxy är öppet.
Change to the Certificates tab.
Klicka på knappen New…. Då öppnas fönstret Share Certificate.
Klicka på knappen Select Certificate or Key… i ramen Certificate i fönstret. Då öppnas fönstret Select a Private Key.
Gå till fliken Security Key.
Klicka på knappen Browse… och välj biblioteksfilen för NetHSM:s PKCS#11-drivrutin. Textfältet PKCS#11 Library visar nu sökvägen till biblioteksfilen.
I rullgardinsmenyn Security Key (PKCS#11) väljer du den plats som innehåller certifikatet. De listade platserna beror på din konfiguration av PKCS#11-modulen.
Click the Open button.
Textlistan under Certificates visar nu en lista över tillgängliga certifikat och generiska nycklar på NetHSM. Välj det certifikat eller den generiska nyckel som du vill dela med PKI Proxy.
Klicka på knappen OK för att bekräfta valet. Du kommer då tillbaka till fönstret Share Certificate. Fönstret kommer nu att visa detaljerna för det valda certifikatet.
Klicka på knappen Add… i rutan Access and Permissions i fönstret. Då öppnas fönstret Select user.
Välj en befintlig användare i rullgardinsmenyn eller skapa en ny genom att välja Create New User…. Klicka på knappen OK för att bekräfta valet. Om du väljer att skapa en ny användare kommer fönstret New User att visas efteråt.
Tillbaka i fönstret Share Certificate ska du också se till att endast tillåta de åtgärder som krävs för certifikatet eller den generiska nyckeln. Detta kan ändras med hjälp av kryssrutorna längst ned i Access and Permissions -ramen.
Klicka på knappen OK för att publicera certifikatet. Du kommer då tillbaka till huvudfönstret i PKI Proxy.
I textlistan under Certificate Management visas nu det publicerade certifikatet.
Viktigt
Se till att mekanismerna för den delade nyckeln på NetHSM tillåter den avsedda användningen i PKI Proxy.
PKI Proxy - Klient¶
PKI Proxy-klientverktygen tillhandahåller olika sätt att komma åt de delade nycklarna och certifikaten från en PKI Proxy-server.
Tips
PKI Proxy-servern innehåller klientverktygen. Därför kan den maskin som kör servern också vara en klient för sig själv.
Installation¶
Ladda ner PKI Proxy 2024 - Client Tools från /n software website.
Öppna installationsprogrammet och följ installationsguiden.
KSP (Key Storage Provider)¶
PKI Proxy tillhandahåller en KSP för gränssnitt mot PKI Proxy-servern. KSP gör det möjligt att använda inbyggda Windows API:er med applikationer via CNG-gränssnittet (Cryptography API: Next Generation). Mer information finns i dokumentationen PKI Proxy.
PKCS#11¶
PKI Proxy tillhandahåller en PKCS#11-modul för gränssnitt mot PKI Proxy-servern. Mer information finns i dokumentationen PKI Proxy.