代理pkcs11 uri来选择证书

Question

我有两个硬件令牌(Thales/Safenet eToken 5110 two )，它们都包含用于各种用途的证书。

我只想向ssh代理添加一个特定的证书，但是我很难找到正确的PKCS11 URI (用rfc7512描述)。

出于测试目的，两个令牌使用相同的引脚代码，就像每次尝试时，如果引脚代码不同，则不正确的令牌将增加令牌上的暂定计数器，从而结束锁定它。

(我正在使用ssh-add通过p11-kit-proxy.所以目前我还不能直接使用pkcs11 uri -不确定这是否重要)。

以下是可用的设备/证书：

$ p11tool --list-all-certs
pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust
pkcs11:model=ID%20Prime%20MD;manufacturer=Gemalto;serial=1234567890ABCDEF;token=foo
pkcs11:model=ID%20Prime%20MD;manufacturer=Gemalto;serial=ABCDEF1234567890;token=bar

我尝试过各种简单的过滤器，如“令牌”、“串行”以及整个路径，以及转义“；”，但都没有结果：

$ ssh-add -s /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so pkcs11:model=ID%20Prime%20MD;manufacturer=Gemalto;serial=1234567890ABCDEF;token=foo

所有证书最终都添加到ssh-agent中：

$ ssh-add -L
ssh-rsa AAAAB3 foo
ssh-rsa AAAAC5 bar

这是因为使用了p11-kit代理，还是因为我错过了其他一些东西？

Answer 1

看起来ssh-keygen不支持指定pkcs11 uri。我建议您简单地用p11tool链接它：

p11tool --export \
'pkcs11:model=ID%20Prime%20MD;manufacturer=Gemalto;serial=1234567890ABCDEF;token=foo' \
| ssh-keygen -i -m PKCS8 -f /dev/stdin