我了解,在使用 HSM 的 PKI 中,密钥对安全地存储在 HSM 中。需要加密/解密功能的应用程序将通过 API 与 HSM 进行通信。
但是,假设我想作为注册代理为用户创建智能卡,HSM 应该如何获取用户的私钥并将其注入智能卡?
答案1
当注册代理创建新的智能卡证书时,会在 Active Directory 中创建新的密钥对并将其分配给该用户。请注意,注册代理的密钥不会写入任何地方 - HSM 可帮助创建全新的(加密随机)密钥对。新密钥对从 HSM 发出并写入智能卡。
如果注册代理注册的用户已有密钥,则只需获取一个新密钥,该密钥在基于证书的身份验证中同样有效。HSM 无需知道任何现有私钥即可创建新密钥。