Importera nycklar och certifikat

Generellt sett är konceptet för att importera nyckelpar och/eller certifikat följande:

  • Skapa en DKEK-delning (Device Key Encryption Key)

  • Initialisera enheten och aktivera DKEK som ”Device Encryption Scheme”

  • Importera DKEK-andel till enheten

  • Importera PKCS#12-behållare till DKEK

Den här dokumentationen omfattar endast ett specifikt användningsfall och ska fungera som ett exempel på det övergripande arbetsflödet. För ytterligare information läs Denna tråd och Denna bloggpost.

Varning

Den här proceduren återställer din Nitrokey HSM 2-enhet och all data på den raderas!

Förberedelse

  • Kontrollera att alla nycklar som du vill importera finns tillgängliga som PKCS#12-behållare (.p12) och att du känner till lösenordet, om det behövs.

  • Se till att ingenting på den använda Nitrokey HSM 2 behövs, det kommer att raderas under denna procedur.

  • ladda ner den senaste Smart Card Shell och packa upp den till din arbetsmapp

Import via SCSH3 GUI

I den uppackade katalogen finns scsh3gui, som kan startas med hjälp av bash scsh3gui (för Windows dubbelklicka på: scsh3gui.cmd).

När SCSH3-verktyget är öppet bör du se din Nitrokey HSM 2 i trädvyn. Följ dessa steg för att importera:

  • Starta nyckelhanteraren (File -> Keymanager)

  • Högerklicka på ”Smartcard-HSM” -> skapa DKEK-delning

    • Välj filplats

    • Välj lösenord för DKEK-delning

  • Högerklicka på ”Smartcard-HSM” -> Initialisera enhet

    • Ange SO-PIN

    • (valfritt) Ange etikett och ange URL/Host

    • Välj autentiseringsmetod: ”Användar-PIN”

    • Tillåt RESET RETRY COUNTER: ”Återställning och avblockering av PIN-koden med SO-PIN är inte tillåten”

    • Ange och bekräfta användar-PIN-koden

    • ”Välj enhetens nyckelkrypteringsschema” -> ”DKEK-andelar”

    • Ange antalet DKEK-aktier: 1

  • Högerklicka på pågående DKEK-installation -> ”Importera DKEK-andel”

    • Välj plats för DKEK-delningsfilen

    • Lösenord för DKEK-delning

  • Högerklicka på ”SmartCard-HSM” -&> ”Importera från PKCS#12”

    • Ange antal aktier -> 1

    • Ange filplacering för DKEK-aktien

    • Ange lösenord för DKEK-aktie

    • Välj PKCS#12-behållare för import (ange lösenord, om det är inställt)

    • Välj tangent

    • Välj det namn som ska användas (detta är den etikett som används för nyckeln på enheten).

    • Importera fler nycklar, om det behövs

När detta är gjort kan du kontrollera att nycklarna har importerats med hjälp av:

pkcs15-tool -D

I resultatet hittar du de importerade nycklarna märkta med det namn som du valde tidigare.