Importera nycklar och certifikat#
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
⨯ |
⨯ |
⨯ |
Generellt sett är konceptet för att importera nyckelpar och/eller certifikat följande:
Skapa en DKEK-delning (Device Key Encryption Key)
Initialisera enheten och aktivera DKEK som ”Device Encryption Scheme”
Importera DKEK-andel till enheten
Importera PKCS#12-behållare till DKEK
Den här dokumentationen omfattar endast ett specifikt användningsfall och ska fungera som ett exempel på det övergripande arbetsflödet. För ytterligare information läs Denna tråd och Denna bloggpost.
Varning
Den här proceduren återställer din Nitrokey HSM 2-enhet och all data på den raderas!
Förberedelse#
Kontrollera att alla nycklar som du vill importera finns tillgängliga som PKCS#12-behållare (.p12) och att du känner till lösenordet, om det behövs.
Se till att ingenting på den använda Nitrokey HSM 2 behövs, det kommer att raderas under denna procedur.
ladda ner den senaste Smart Card Shell och packa upp den till din arbetsmapp
Import via SCSH3 GUI#
I den uppackade katalogen finns scsh3gui
, som kan startas med hjälp av bash scsh3gui
(för Windows dubbelklicka på: scsh3gui.cmd
).
När SCSH3-verktyget är öppet bör du se din Nitrokey HSM 2 i trädvyn. Följ dessa steg för att importera:
Starta nyckelhanteraren (File -> Keymanager)
Högerklicka på ”Smartcard-HSM” -> skapa DKEK-delning
Välj filplats
Välj lösenord för DKEK-delning
Högerklicka på ”Smartcard-HSM” -> Initialisera enhet
Ange SO-PIN
(valfritt) Ange etikett och ange URL/Host
Välj autentiseringsmetod: ”Användar-PIN”
Tillåt RESET RETRY COUNTER: ”Återställning och avblockering av PIN-koden med SO-PIN är inte tillåten”
Ange och bekräfta användar-PIN-koden
”Välj enhetens nyckelkrypteringsschema” -> ”DKEK-andelar”
Ange antalet DKEK-aktier: 1
Högerklicka på pågående DKEK-installation -> ”Importera DKEK-andel”
Välj plats för DKEK-delningsfilen
Lösenord för DKEK-delning
Högerklicka på ”SmartCard-HSM” -&> ”Importera från PKCS#12”
Ange antal aktier -> 1
Ange filplacering för DKEK-aktien
Ange lösenord för DKEK-aktie
Välj PKCS#12-behållare för import (ange lösenord, om det är inställt)
Välj tangent
Välj det namn som ska användas (detta är den etikett som används för nyckeln på enheten).
Importera fler nycklar, om det behövs
När detta är gjort kan du kontrollera att nycklarna har importerats med hjälp av:
pkcs15-tool -D
I resultatet hittar du de importerade nycklarna märkta med det namn som du valde tidigare.