30.3. Speichern eines Zertifikats auf einer Smartcard
Dieser Abschnitt beschreibt die Smartcard-Konfiguration mit dem Tool pkcs15-init
, das Sie bei der Konfiguration unterstützt:
- Löschen Ihrer Smartcard
- Setzen neuer PINs und optionaler PIN-Unblocking Keys (PUKs)
- Anlegen eines neuen Steckplatzes auf der Chipkarte
- Speichern des Zertifikats, des privaten Schlüssels und des öffentlichen Schlüssels im Steckplatz
- Sperren der Smartcard-Einstellungen (einige Smartcards erfordern diese Art der Finalisierung)
Voraussetzungen
Das Paket
opensc
, das das Toolpkcs15-init
enthält, ist installiert.Details finden Sie unter Installieren von Tools zum Verwalten und Verwenden von Smartcards.
- Die Karte wird in das Lesegerät eingelegt und mit dem Computer verbunden.
-
Sie haben den privaten Schlüssel, den öffentlichen Schlüssel und das Zertifikat auf der Smartcard zu speichern. In diesem Verfahren sind
testuser.key
,testuserpublic.key
undtestuser.crt
die Namen, die für den privaten Schlüssel, den öffentlichen Schlüssel und das Zertifikat verwendet werden. - Ihre aktuelle Smartcard-Benutzer-PIN und Sicherheitsbeauftragten-PIN (SO-PIN)
Verfahren
Löschen Sie Ihre Smartcard und authentifizieren Sie sich mit Ihrer PIN:
$ pkcs15-init --erase-card --use-default-transport-keys Using reader with a card: Reader name PIN [Security Officer PIN] required. Please enter PIN [Security Officer PIN]:
Die Karte ist gelöscht worden.
Initialisieren Sie Ihre Smartcard, legen Sie Ihre Benutzer-PIN und PUK sowie die PIN und PUK Ihres Sicherheitsbeauftragten fest:
$ pkcs15-init --create-pkcs15 --use-default-transport-keys \ --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123 Using reader with a card: Reader name
Das Werkzeug
pcks15-init
erstellt einen neuen Steckplatz auf der Smartcard.Legen Sie die Beschriftung und die Authentifizierungs-ID für den Steckplatz fest:
$ pkcs15-init --store-pin --label testuser \ --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478 Using reader with a card: Reader name
Die Beschriftung wird auf einen menschenlesbaren Wert gesetzt, in diesem Fall auf
testuser
. Dieauth-id
muss aus zwei hexadezimalen Werten bestehen, in diesem Fall wird sie auf01
gesetzt.Speichern und beschriften Sie den privaten Schlüssel in dem neuen Steckplatz auf der Smartcard:
$ pkcs15-init --store-private-key testuser.key --label testuser_key \ --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name
AnmerkungDer Wert, den Sie für
--id
angeben, muss beim Speichern Ihres privaten Schlüssels und des Zertifikats gleich sein. Wenn Sie keinen Wert für--id
angeben, wird vom Tool ein komplizierterer Wert berechnet und es ist daher einfacher, einen eigenen Wert zu definieren.Speichern und beschriften Sie das Zertifikat in dem neuen Steckplatz auf der Smartcard:
$ pkcs15-init --store-certificate testuser.crt --label testuser_crt \ --auth-id 01 --id 01 --format pem --pin 963214 Using reader with a card: Reader name
(Optional) Speichern und beschriften Sie den öffentlichen Schlüssel in dem neuen Steckplatz auf der Smartcard:
$ pkcs15-init --store-public-key testuserpublic.key --label testuserpublic_key --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name
AnmerkungWenn der öffentliche Schlüssel einem privaten Schlüssel und/oder Zertifikat entspricht, sollten Sie die gleiche ID wie diesen privaten Schlüssel und/oder dieses Zertifikat angeben.
(Optional) Bei einigen Smartcards müssen Sie die Karte abschließen, indem Sie die Einstellungen sperren:
$ pkcs15-init -F
In diesem Stadium enthält Ihre Smartcard das Zertifikat, den privaten Schlüssel und den öffentlichen Schlüssel in dem neu erstellten Steckplatz. Sie haben auch Ihre Benutzer-PIN und PUK sowie die PIN und PUK des Sicherheitsbeauftragten erstellt.