PKCS#11 URL的生成#
各种应用程序使用openssl来处理例如TLS证书。这个概念主要允许简单地用所谓的**PKCS#11 URL**替换文件路径(用于秘密),以使用来自例如Nitrokey的秘密。
准备工作#
确保``openssl``被安装。
确保``openssl``通过安装``libengine-pkcs11-openssl``可以使用 PKCS#11 引擎。
安装``opensc`和``gnutls-bin``以获得必要的工具
使用``pkcs15-tool -D``验证您需要的密钥和/或证书在您的Nitrokey上可用。
如果你想通过``libengine-pkcs11-openssl``使用ECC密钥/机制,你必须确保其版本至少为0.4.10
列表和生成PKCS#11 URLs#
使用下面的命令来获得可用令牌的列表(Nitrokeys)。
p11tool --list-tokens
选择你想生成URL令牌(Nitrokey)的URL,并像这样使用它。
p11tool --list-all <token-url>
# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"
如果你检查URL的尾部,你会发现。label
, id``等等,这些可以被部分删除,只要必要的对象可以通过生成的URL唯一识别,见:doc:`TLS Apache2 Configuration<apache2-tls>` 对于一个只使用``id
的例子。