Certificate

我們可以使用 HSM 創建證書籤名請求 (CSR) 嗎?

  • July 16, 2020

我可以使用 HSM 生成 CSR 嗎?如果是,那麼請指導我們。這將非常有幫助。

以下是我們的系統詳情:

  • 我們有 HSM(SafeNet)模擬器來測試開發應用程序。
  • 我們正在使用 Cryptoki.dll 和基於桌面的應用程序來執行加密操作。

現在我們想知道 HSM 是否可以生成 CSR?如果是,那麼如何?

我做了研究並遵循PKCS #11 OASIS 文件標準:

http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html

最後,我能夠管理來自 HSM的證書請求 ( CSR )。

以下是實現相同目的的步驟:

  1. 生成密鑰對(私有、公共)
  2. **從公鑰派生密鑰(C_DeriveKey)**並賦予以下屬性:
  • 機制 - ENCODE_PKCS_10(證書請求)
  • 簽名密鑰(私鑰)
  • 簽名機制 - SHA1_RSA_PKCS

您正在使用“dll”,因此在 Windows 上。

您的 SafeNet HSM 將附帶您安裝在需要訪問設備的伺服器上的客戶端軟體。正確安裝和配置後,它會顯示為Microsoft CryptoAPI密鑰儲存提供程序。

當您嘗試請求證書時,此新提供程序會顯示在可能的加密提供程序列表中(除了軟體模組)。

此外,金雅拓 (SafeNet) 提供軟體直接通過PKCS#11與 HSM 互動,因此非 CAPI 應用程序(如 OpenSSL)可以訪問,也.jar可以從 Java 應用程序訪問文件。

引用自:https://serverfault.com/questions/937690