2.8. Préparation de votre carte à puce et téléchargement de vos certificats et clés sur votre carte à puce
Cette section décrit la configuration de la carte à puce avec l'outil pkcs15-init, qui vous aide à configurer :
- Effacer votre carte à puce
- Définition de nouveaux codes PIN et de clés de déblocage de code PIN (PUK) en option
- Création d'un nouvel emplacement sur la carte à puce
- Stockage du certificat, de la clé privée et de la clé publique dans la fente
- Si nécessaire, verrouiller les paramètres de la carte à puce, car certaines cartes à puce nécessitent ce type de finalisation
L'outil pkcs15-init peut ne pas fonctionner avec toutes les cartes à puce. Vous devez utiliser les outils qui fonctionnent avec la carte à puce que vous utilisez.
Conditions préalables
Le paquet
opensc, qui comprend l'outilpkcs15-init, est installé.Pour plus de détails, voir Installation des outils de gestion et d'utilisation des cartes à puce.
- La carte est insérée dans le lecteur et connectée à l'ordinateur.
-
Vous disposez de la clé privée, de la clé publique et du certificat à stocker sur la carte à puce. Dans cette procédure,
testuser.key,testuserpublic.key, ettestuser.crtsont les noms utilisés pour la clé privée, la clé publique et le certificat. - Vous disposez du code PIN de l'utilisateur de votre carte à puce actuelle et du code PIN de l'agent de sécurité (SO-PIN).
Procédure
Effacez votre carte à puce et authentifiez-vous avec votre code PIN :
$ pkcs15-init --erase-card --use-default-transport-keys Using reader with a card: Reader name PIN [Security Officer PIN] required. Please enter PIN [Security Officer PIN]:La carte a été effacée.
Initialisez votre carte à puce, définissez votre code PIN et PUK d'utilisateur, ainsi que le code PIN et PUK de votre responsable de la sécurité :
$ pkcs15-init --create-pkcs15 --use-default-transport-keys \ --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123 Using reader with a card: Reader nameL'outil
pcks15-initcrée un nouvel emplacement sur la carte à puce.Définir l'étiquette et l'ID d'authentification pour l'emplacement :
$ pkcs15-init --store-pin --label testuser \ --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478 Using reader with a card: Reader nameL'étiquette est définie sur une valeur lisible par l'homme, dans ce cas,
testuser. L'adresseauth-iddoit être composée de deux valeurs hexadécimales ; dans ce cas, elle est fixée à01.Stockez et étiquetez la clé privée dans le nouvel emplacement de la carte à puce :
$ pkcs15-init --store-private-key testuser.key --label testuser_key \ --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader nameNoteLa valeur que vous indiquez pour
--iddoit être la même lorsque vous stockez votre clé privée et votre certificat à l'étape suivante. Il est recommandé de spécifier votre propre valeur pour--id, sinon l'outil calculera une valeur plus complexe.Stockez et étiquetez le certificat dans le nouvel emplacement de la carte à puce :
$ pkcs15-init --store-certificate testuser.crt --label testuser_crt \ --auth-id 01 --id 01 --format pem --pin 963214 Using reader with a card: Reader name(Facultatif) Stockez et étiquetez la clé publique dans le nouvel emplacement de la carte à puce :
$ pkcs15-init --store-public-key testuserpublic.key --label testuserpublic_key --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader nameNoteSi la clé publique correspond à une clé privée ou à un certificat, indiquez le même ID que celui de la clé privée ou du certificat.
(Facultatif) Certaines cartes à puce exigent que vous finalisiez la carte en verrouillant les paramètres :
$ pkcs15-init -F
À ce stade, votre carte à puce comprend le certificat, la clé privée et la clé publique dans l'emplacement nouvellement créé. Vous avez également créé votre code PIN et PUK d'utilisateur ainsi que le code PIN et PUK de l'agent de sécurité.
