Интерфейс OpenSSL с конкретным двоичным движком PKCS11

У меня есть библиотека PKCS11 из HSM, и я хотел бы использовать OpenSSL для взаимодействия с библиотекой PKCS11 для генерации ключей и сертификатов.

Как это сделать без необходимости устанавливать внешнее стороннее программное обеспечение, отличное от HSM, двоичного кода PKCS11, предоставляемого HSM и OpenSSL.


openssl pkcs#11 hsm
person gsunnic    schedule 09.10.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

В зависимости от того, что именно входит в вашу библиотеку, как она скомпилирована и насколько она совместима с OpenSSL, я считаю, что вам просто нужно использовать команду openssl engine, хотя я никогда раньше не использовал ее для добавления движка.

Кажется, это довольно хороший источник информации. В нем говорится о каком-то стороннем программном обеспечении, но я думаю, что это только для тестирования / устранения неполадок (если вы не рассматриваете EVP, OpenSSL API, стороннее программное обеспечение). Начиная со страницы 26, кажется, есть исчерпывающая документация о том, как добавить механизм PKCS11 в OpenSSL.

http://www.dnssec.cz/files/nic/doc/hsm.pdf

person ice13berg    schedule 12.10.2014
comment
Я считаю, что OpenSC, который предоставляет инструменты и библиотеки для работы со смарт-картами, предоставляет OpenSSL-совместимый механизм PKCS11, но он предназначен для взаимодействия с OpenSC-совместимыми смарт-картами или, по крайней мере, смарт-картами, которые поддерживают протоколы доступа к открытым стандартам, такие как CCID для смарт-карт, подключенных через USB. . Вы могли бы подумать, что в мире криптографии и HSM должна быть некоторая стандартизация, но даже поискав в Google, вы обнаружите, что это настоящий беспорядок. В любом случае, вам нужно сначала протестировать. Ознакомьтесь с движком OpenSC PKCS11 для OpenSSL. - person Paul-Sebastian Manole; 04.05.2017