添加与 Cavium (AWS CloudHSMv2) 绑定的证书时,Windows 不会创建分配的“密钥容器”

添加与 Cavium (AWS CloudHSMv2) 绑定的证书时,Windows 不会创建分配的“密钥容器”

我有两个与 AWS CloudHSM v2(cavium HSM)绑定的 Windows 系统。在一个系统上,我生成了 CSR,并接受/添加了使用该 CSR 购买的证书。我可以签名,并且私钥可以通过密钥容器从 HSM 中正确提取。

另一个签名是我的生产签名系统,它与现有证书配合良好,但当我尝试添加新证书时,没有Key Container设置。我习惯于需要运行修复过程,但在这种情况下,我没有 ID 来提供文件。

  1. 认证"\Program Files\Amazon\CloudHSM\tools\set_cloudhsm_credentials.exe" --user REDACTED --password "..."
  2. 添加证书certutil -addstore my my-new-cert.crt
  3. 转储商店详细信息certutil -store my > cert_store_details.txt
    Serial Number: REDACTED
    Issuer: CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, O=DigiCert, Inc., C=US
     NotBefore: 1/25/2022 12:00 AM
     NotAfter: 1/25/2023 11:59 PM
    Subject: CN=REDACTED, C=US, SERIALNUMBER=REDACTED, OID.1.3.6.1.4.1.311.60.2.1.2=Delaware, OID.1.3.6.1.4.1.311.60.2.1.3=US, OID.2.5.4.15=Private Organization
    Non-root Certificate
    Cert Hash(sha1): REDACTED
    No key provider information
    Cannot find the certificate and private key for decryption.

通常情况下,我会创建一个 repair.txt ,像这样,在和之间加上Key Containerid ,但是我没有这样的,所以我运气不好=&Container

        [Properties]
        11 = "" ; Add friendly name property
        2 = "{text}" ; Add Key Provider Information property
        _continue_="Container=&"
        _continue_="Provider=Cavium Key Storage Provider&"
        _continue_="Flags=0&"
        _continue_="KeySpec=2"    

如果我只是运行修复certutil -repairstore my "REDACTED",那么系统会要求我提供智能卡。哦,这台机器是 Windows Core 2016(因此没有 UI 或有限的 UI)。

答案1

好的,这是 AWS 支持人员的答案 - 希望他们能将其添加到他们的文档中

  1. 确定私钥和公钥的 CloudHSM 文件句柄(您可以通过从证书中转储模数并使用 hsm 工具来寻找密钥来执行此操作。但是,我在生成 CSR 之前和之后报告了句柄,以便我可以将它们添加到我的安全文档中 - 所以我不需要这样做

  2. 创建 KSP 容器

C:\Program Files\Amazon\CloudHSM>import_key.exe -from HSM 
  -privateKeyHandle <private key handle> -publicKeyHandle <public key handle>

这应该输出类似于以下内容的内容:“在 Cavium 密钥存储提供商中表示 1 个密钥对。”

如果您收到错误消息“未设置 n3fips_password”,请确保在您的系统上设置 HSM 的登录凭据,如下面 [4] 中所述。

  1. 运行以下命令来验证新的密钥容器是否在您的密钥存储提供程序中:
C:\Program Files\Amazon\CloudHSM>certutil -key -csp "Cavium Key Storage provider"

“Cavius Key Storage Provider”可能不是您密钥容器的名称。此名称是从第一步生成的输出中检索到的。

如果容器创建成功,输出应类似于以下内容:

Cavium Key Storage provider:
  <key container name>
  RSA


CertUtil: -key command completed successfully.
  1. 创建一个 repair.txt,以便我们可以更新证书存储以使用容器
[Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=<key container name>&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
  1. 确保 CloudHSM 客户端守护程序仍在运行,然后使用它certutil verb -repairstore来更新证书序列号。此命令类似于以下内容:
certutil -repairstore my <certificate serial number> repair.txt
  1. 修复证书存储后,请运行以下命令来验证证书是否已成功与新的密钥容器正确关联:
certutil -store my

你会期待这样的事情

================ Certificate 0 ================
Serial Number: <certificate serial number>
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): 5a...24
  Key Container = CNGRSAPriv-...d
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.

如果Key Container = CNGRSAPriv-...d显示正确的容器,则说明证书 KSP 关系良好

如果您看到Private key is NOT exportable并且Encryption test passed知道您正在使用正确的文件句柄。

如果您使用 signtool,则需要添加/sm以强制其使用机器存储而不是用户存储,因为上述过程会生成与机器存储绑定的容器。没有其他选择。

相关内容