我们可以使用 HSM 创建证书签名请求 (CSR) 吗？

Question 1

我做了研究并关注PKCS #11OASIS文档标准：

最后，我可以管理证书请求（企业社会责任) 来自 HSM。

以下是实现相同目标的步骤：

生成密钥对（私人、公共）
派生密钥(C_DeriveKey)从公钥并赋予以下属性：
- 机制 -ENCODE_PKCS_10（证书请求）
- 签名密钥（私钥）
- 签名机制 -SHA1_RSA_PKCS

Answer

我做了研究并关注PKCS #11OASIS文档标准：

最后，我可以管理证书请求（企业社会责任) 来自 HSM。

以下是实现相同目标的步骤：

生成密钥对（私人、公共）
派生密钥(C_DeriveKey)从公钥并赋予以下属性：
- 机制 -ENCODE_PKCS_10（证书请求）
- 签名密钥（私钥）
- 签名机制 -SHA1_RSA_PKCS

Question 2

您正在使用“dll”，因此在 Windows 上。

SafeNet HSM 将附带客户端软件，您可以将其安装在需要访问设备的服务器上。安装并正确配置后，它会显示为微软加密API密钥存储提供商。

当您尝试请求证书时，此新的提供程序会显示在可能的加密提供程序列表中（除了软件模块）。

此外，Gemalto (SafeNet) 还提供通过以下方式直接与 HSM 交互的软件PKCS#11因此非 CAPI 应用程序（例如 OpenSSL）以及.jarJava 应用程序都可以访问文件。

Answer

您正在使用“dll”，因此在 Windows 上。

SafeNet HSM 将附带客户端软件，您可以将其安装在需要访问设备的服务器上。安装并正确配置后，它会显示为微软加密API密钥存储提供商。

当您尝试请求证书时，此新的提供程序会显示在可能的加密提供程序列表中（除了软件模块）。

此外，Gemalto (SafeNet) 还提供通过以下方式直接与 HSM 交互的软件PKCS#11因此非 CAPI 应用程序（例如 OpenSSL）以及.jarJava 应用程序都可以访问文件。

Question 3

在 HSM 中生成带有公钥和私钥标签的 RSA 密钥对。
取出 HSM 公钥。将 HSM 公钥转换为基于 Java 的公钥，并加上模数和公开指数（使用 RSAPublicKeySpec 类）
使用主题和公钥创建CertificateRequestInfo（步骤2）
使用 HSM 中的私钥对步骤 3 的数据进行签名（使用私钥标签和 findObject 来定位私钥）
使用算法、签名（步骤 4）和 CertificationRequestInfo（步骤 3）计算 CertificationRequestValue
将步骤 5 的结果编码为 Base64，并添加“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”

我按照这里的代码操作-https://gist.github.com/dopoljak/e7550dd0c01a3438c24c并根据我的要求进行了修改。

感谢 Domagoj Poljak！！

干杯

Answer

在 HSM 中生成带有公钥和私钥标签的 RSA 密钥对。
取出 HSM 公钥。将 HSM 公钥转换为基于 Java 的公钥，并加上模数和公开指数（使用 RSAPublicKeySpec 类）
使用主题和公钥创建CertificateRequestInfo（步骤2）
使用 HSM 中的私钥对步骤 3 的数据进行签名（使用私钥标签和 findObject 来定位私钥）
使用算法、签名（步骤 4）和 CertificationRequestInfo（步骤 3）计算 CertificationRequestValue
将步骤 5 的结果编码为 Base64，并添加“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”

我按照这里的代码操作-https://gist.github.com/dopoljak/e7550dd0c01a3438c24c并根据我的要求进行了修改。

感谢 Domagoj Poljak！！

干杯

相关内容