%20%E7%BB%91%E5%AE%9A%E7%9A%84%E8%AF%81%E4%B9%A6%E6%97%B6%EF%BC%8CWindows%20%E4%B8%8D%E4%BC%9A%E5%88%9B%E5%BB%BA%E5%88%86%E9%85%8D%E7%9A%84%E2%80%9C%E5%AF%86%E9%92%A5%E5%AE%B9%E5%99%A8%E2%80%9D.png)
我有两个与 AWS CloudHSM v2(cavium HSM)绑定的 Windows 系统。在一个系统上,我生成了 CSR,并接受/添加了使用该 CSR 购买的证书。我可以签名,并且私钥可以通过密钥容器从 HSM 中正确提取。
另一个签名是我的生产签名系统,它与现有证书配合良好,但当我尝试添加新证书时,没有Key Container设置。我习惯于需要运行修复过程,但在这种情况下,我没有 ID 来提供文件。
- 认证
"\Program Files\Amazon\CloudHSM\tools\set_cloudhsm_credentials.exe" --user REDACTED --password "..." - 添加证书
certutil -addstore my my-new-cert.crt - 转储商店详细信息
certutil -store my > cert_store_details.txt
Serial Number: REDACTED
Issuer: CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, O=DigiCert, Inc., C=US
NotBefore: 1/25/2022 12:00 AM
NotAfter: 1/25/2023 11:59 PM
Subject: CN=REDACTED, C=US, SERIALNUMBER=REDACTED, OID.1.3.6.1.4.1.311.60.2.1.2=Delaware, OID.1.3.6.1.4.1.311.60.2.1.3=US, OID.2.5.4.15=Private Organization
Non-root Certificate
Cert Hash(sha1): REDACTED
No key provider information
Cannot find the certificate and private key for decryption.
通常情况下,我会创建一个 repair.txt ,像这样,在和之间加上Key Containerid ,但是我没有这样的,所以我运气不好=&Container
[Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
如果我只是运行修复certutil -repairstore my "REDACTED",那么系统会要求我提供智能卡。哦,这台机器是 Windows Core 2016(因此没有 UI 或有限的 UI)。
答案1
好的,这是 AWS 支持人员的答案 - 希望他们能将其添加到他们的文档中
确定私钥和公钥的 CloudHSM 文件句柄(您可以通过从证书中转储模数并使用 hsm 工具来寻找密钥来执行此操作。但是,我在生成 CSR 之前和之后报告了句柄,以便我可以将它们添加到我的安全文档中 - 所以我不需要这样做
创建 KSP 容器
C:\Program Files\Amazon\CloudHSM>import_key.exe -from HSM
-privateKeyHandle <private key handle> -publicKeyHandle <public key handle>
这应该输出类似于以下内容的内容:“在 Cavium 密钥存储提供商中表示 1 个密钥对。”
如果您收到错误消息“未设置 n3fips_password”,请确保在您的系统上设置 HSM 的登录凭据,如下面 [4] 中所述。
- 运行以下命令来验证新的密钥容器是否在您的密钥存储提供程序中:
C:\Program Files\Amazon\CloudHSM>certutil -key -csp "Cavium Key Storage provider"
“Cavius Key Storage Provider”可能不是您密钥容器的名称。此名称是从第一步生成的输出中检索到的。
如果容器创建成功,输出应类似于以下内容:
Cavium Key Storage provider:
<key container name>
RSA
CertUtil: -key command completed successfully.
- 创建一个 repair.txt,以便我们可以更新证书存储以使用容器
[Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=<key container name>&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
- 确保 CloudHSM 客户端守护程序仍在运行,然后使用它
certutil verb -repairstore来更新证书序列号。此命令类似于以下内容:
certutil -repairstore my <certificate serial number> repair.txt
- 修复证书存储后,请运行以下命令来验证证书是否已成功与新的密钥容器正确关联:
certutil -store my
你会期待这样的事情
================ Certificate 0 ================
Serial Number: <certificate serial number>
Issuer: CN=MYRootCA
NotBefore: 2/5/2020 1:38 PM
NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): 5a...24
Key Container = CNGRSAPriv-...d
Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.
如果Key Container = CNGRSAPriv-...d显示正确的容器,则说明证书 KSP 关系良好
如果您看到Private key is NOT exportable并且Encryption test passed知道您正在使用正确的文件句柄。
如果您使用 signtool,则需要添加/sm以强制其使用机器存储而不是用户存储,因为上述过程会生成与机器存储绑定的容器。没有其他选择。