Red Hat Summit30.3. Armazenamento de um certificado em um cartão inteligente
Esta seção descreve a configuração do cartão inteligente com a ferramenta pkcs15-init, que o ajuda a configurar:
- Apagando seu cartão inteligente
- Definição de novos PINs e chaves de desbloqueio de PINs opcionais (PUKs)
- Criando um novo slot no cartão inteligente
- Armazenamento do certificado, chave privada e chave pública no slot
- Bloqueio das configurações do Cartão Smart Card (alguns Cartões Smart Card requerem este tipo de finalização)
Pré-requisitos
O pacote
opensc, que inclui a ferramentapkcs15-init, está instalado.Para detalhes, consulte Instalação de ferramentas para gerenciamento e utilização de Cartões Smart Card.
- O cartão é inserido no leitor e conectado ao computador.
-
Você tem a chave privada, a chave pública e o certificado para armazenar no cartão inteligente. Neste procedimento,
testuser.key,testuserpublic.key, etestuser.crtsão os nomes usados para a chave privada, chave pública e o certificado. - Seu PIN atual de usuário de Cartão Smart Card e PIN de Oficial de Segurança (SO-PIN)
Procedimento
Apague seu cartão inteligente e autentique-se com seu PIN:
pkcs15-init --erase-card --use-default-transport-keys Using reader with a card: Reader name PIN [Security Officer PIN] required. Please enter PIN [Security Officer PIN]:
$ pkcs15-init --erase-card --use-default-transport-keys Using reader with a card: Reader name PIN [Security Officer PIN] required. Please enter PIN [Security Officer PIN]:Copy to Clipboard Copied! Toggle word wrap Toggle overflow O cartão foi apagado.
Inicialize seu cartão inteligente, defina seu PIN e PUK de usuário e seu PIN e PUK de oficial de segurança:
pkcs15-init --create-pkcs15 --use-default-transport-keys \ --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123 Using reader with a card: Reader name$ pkcs15-init --create-pkcs15 --use-default-transport-keys \ --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123 Using reader with a card: Reader nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow A ferramenta
pcks15-initcria um novo slot no cartão inteligente.Defina a etiqueta e o ID de autenticação para o slot:
pkcs15-init --store-pin --label testuser \ --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478 Using reader with a card: Reader name$ pkcs15-init --store-pin --label testuser \ --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478 Using reader with a card: Reader nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow O rótulo é definido para um valor legível para o ser humano, neste caso,
testuser. Oauth-iddeve ser dois valores hexadecimais, neste caso, está definido para01.Armazene e etiquete a chave privada no novo slot do Cartão Smart Card:
pkcs15-init --store-private-key testuser.key --label testuser_key \ --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name$ pkcs15-init --store-private-key testuser.key --label testuser_key \ --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow NotaO valor que você especifica para
--iddeve ser o mesmo ao armazenar sua chave privada e certificado. Se você não especificar um valor para--id, um valor mais complicado é calculado pela ferramenta e, portanto, é mais fácil definir seu próprio valor.Armazenar e etiquetar o certificado no novo slot do cartão inteligente:
pkcs15-init --store-certificate testuser.crt --label testuser_crt \ --auth-id 01 --id 01 --format pem --pin 963214 Using reader with a card: Reader name$ pkcs15-init --store-certificate testuser.crt --label testuser_crt \ --auth-id 01 --id 01 --format pem --pin 963214 Using reader with a card: Reader nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow (Opcional) Armazenar e etiquetar a chave pública no novo slot no cartão inteligente:
pkcs15-init --store-public-key testuserpublic.key --label testuserpublic_key --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name$ pkcs15-init --store-public-key testuserpublic.key --label testuserpublic_key --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow NotaSe a chave pública corresponder a uma chave privada e/ou certificado, você deve especificar a mesma identificação que aquela chave privada e/ou certificado.
(Opcional) Alguns cartões inteligentes exigem que você finalize o cartão travando as configurações:
pkcs15-init -F
$ pkcs15-init -FCopy to Clipboard Copied! Toggle word wrap Toggle overflow Nesta etapa, seu cartão inteligente inclui o certificado, a chave privada e a chave pública no slot recém-criado. Você também criou seu PIN e PUK de usuário e o PIN e PUK do oficial de segurança.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}