PKCS#11 URL的生成#

各种应用程序使用openssl来处理例如TLS证书。这个概念主要允许简单地用所谓的**PKCS#11 URL**替换文件路径(用于秘密),以使用来自例如Nitrokey的秘密。

准备工作#

  • 确保``openssl``被安装。

  • 确保``openssl``通过安装``libengine-pkcs11-openssl``可以使用 PKCS#11 引擎。

  • 安装``opensc`和``gnutls-bin``以获得必要的工具

  • 使用``pkcs15-tool -D``验证您需要的密钥和/或证书在您的Nitrokey上可用。

  • 如果你想通过``libengine-pkcs11-openssl``使用ECC密钥/机制,你必须确保其版本至少为0.4.10

列表和生成PKCS#11 URLs#

使用下面的命令来获得可用令牌的列表(Nitrokeys)。

p11tool --list-tokens

选择你想生成URL令牌(Nitrokey)的URL,并像这样使用它。

p11tool --list-all <token-url>

# example:
# p11tool --list-all "pkcs11:model=PKCS%2315%20emulated;manufacturer=www.CardContact.de;serial=DENK0123123;token=UserPIN%20%28SmartCard-HSM%29"

如果你检查URL的尾部,你会发现。label, id``等等,这些可以被部分删除,只要必要的对象可以通过生成的URL唯一识别,见:doc:`TLS Apache2 Configuration<apache2-tls>` 对于一个只使用``id 的例子。