Certificate
我們可以使用 HSM 創建證書籤名請求 (CSR) 嗎?
我可以使用 HSM 生成 CSR 嗎?如果是,那麼請指導我們。這將非常有幫助。
以下是我們的系統詳情:
- 我們有 HSM(SafeNet)模擬器來測試開發應用程序。
- 我們正在使用 Cryptoki.dll 和基於桌面的應用程序來執行加密操作。
現在我們想知道 HSM 是否可以生成 CSR?如果是,那麼如何?
我做了研究並遵循PKCS #11 OASIS 文件標準:
http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html
最後,我能夠管理來自 HSM的證書請求 ( CSR )。
以下是實現相同目的的步驟:
- 生成密鑰對(私有、公共)
- **從公鑰派生密鑰(C_DeriveKey)**並賦予以下屬性:
- 機制 - ENCODE_PKCS_10(證書請求)
- 簽名密鑰(私鑰)
- 簽名機制 - SHA1_RSA_PKCS
您正在使用“dll”,因此在 Windows 上。
您的 SafeNet HSM 將附帶您安裝在需要訪問設備的伺服器上的客戶端軟體。正確安裝和配置後,它會顯示為Microsoft CryptoAPI密鑰儲存提供程序。
當您嘗試請求證書時,此新提供程序會顯示在可能的加密提供程序列表中(除了軟體模組)。
此外,金雅拓 (SafeNet) 提供軟體直接通過PKCS#11與 HSM 互動,因此非 CAPI 應用程序(如 OpenSSL)可以訪問,也
.jar
可以從 Java 應用程序訪問文件。