关键管理#

关键插槽#

PIV 应用程序可持有不同用途的证书。每种用途的私人密钥及其相应的证书都存储在一个密钥槽中。

插槽

应用

描述

82-95

退休的主要管理人员

这些插槽中的私钥和证书用于密钥管理应用程序,目前仍在提供向后兼容性。

9a

认证

此插槽中的私钥和证书用于验证持卡人的身份。

9c

签名

此插槽中的私钥和证书用于签署电子邮件和文件。

9d

关键管理

此插槽中的私钥和证书用于加密电子邮件和文件。

9e

卡认证

该插槽中的私钥和证书用于实际操作,如楼宇门禁或时间记录。前提条件是相关系统提供支持。

算法#

PIV 应用程序使用非对称和对称算法。非对称算法用于用户私钥,对称算法用于管理密钥。

支持非对称密钥算法:

  • RSA 2048

  • nistp256

支持对称密钥算法:

  • AES 256

  • 3DES (TDES)

警告

不建议使用 3DES (TDES) 算法。

生成密钥#

PIV 应用程序可在 Nitrokey 上生成新的私人密钥。

下面的命令将在密钥槽``9a`` 中为用户创建私人密钥,用户名为``John Doe``,主题替代名称为``jd@nitrokey.local``。

nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"