在我的国家,“DIRECCIÓN NACIONAL DE FIRMA DIGITAL”有一个 HSM,可以为任何请求者生成公钥和私钥。他们是 CA。
请求者可以在其设备上构建 CSR 文件(例如使用 OpenSSL)并将其提交给此 CA 进行处理,尽管他们使用的是 HSM?
我不想让他们生成并将我的私钥发送给我,因为他们现在正在做的事情! (据说他们看不到……据说……)
我试图在一个 HSM(Luna HSM)的文档中搜索如何做到这一点,但我没有找到任何东西。
提前致谢。
我觉得奇怪的是,CA 声称为您生成私钥,然后将其导出为文件。它违背了 HSM 的首要目的,即保护私钥。
无论如何,您可以生成自己的密钥并向他们发送 PKCS#10。您的密钥可以保存在软件加密模块中,例如磁盘上的文件或 Windows DPAPI;或者它可以保存在您自己的硬件加密模块中,例如另一个 HSM,或更便宜的替代方案,例如智能卡或 YubiKey。
CA通常使用HSM作为其CA应用软件的硬件加密模块。您(或注册机构)将与该软件交互,而不是直接与 HSM 交互。但是,可以使用 Luna HSM 及其
cmu请记住,CA 的首要任务是建立并保持对其认证证书主题的能力的信任。可以依靠来自值得信赖的 CA 的证书来断言持有者就是所声称的人/物。技术在建立信任方面只发挥很小的作用。大多数信任是通过对 CA 服务的运营进行严格控制来获得的,其中包括严格的身份检查、记录保存、审计等。在我看来,直接接入 HSM 并直接使用它似乎没有达到目标。我会问自己这是否真的是一个值得信赖的服务,它直接使用 HSM 进行签名,并且还为您生成密钥!