моя компания купила HSM, и мы сгенерируем пару ключей и csr внутри него, а затем передадим csr в ЦС, после получения .cer из ЦС нам нужно предоставить .p12 пользователю. Возможен ли такой расклад? Потому что я слышал, что HSM не позволяет ничего экспортировать. Как это сделать в Luna HSM?
как создать файл .p12 в Luna HSM
Ответы (2)
Согласно документации Luna, следующее создаст запрос на HSM (вам нужно будет настроить параметры:
cmu requestCert -publichandle=6 –privatehandle=7 -C=CA -L=Ottawa -O="Rainbow-Chrysalis" -CN="Test Certificate" -outputFile=testCert.req
Однако вы говорите, что собираетесь экспортировать это как файл PKCS # 12 для передачи пользователю. Возникает вопрос, почему вы вообще используете HSM. Идея HSM заключается в том, что он защищает ваш закрытый ключ. Если вы экспортируете его в файл PKCS#12, он уничтожает объект; и вы также можете сгенерировать закрытый ключ и запрос сертификата в программном обеспечении.
Если вам нужен ЦС примерно на 20 лет, рекомендуется иметь резервную копию ключа за пределами HSM и запирать резервную копию в сейфе (хотя это не так просто, как кажется, тщательно планируйте). Затем ключ импортируется в HSM (с ключом импорта CMU и сертификатом с импортом CMU). Если ваш ключ сгенерирован внутри HSM, он будет разблокирован только в аналогичном HSM от того же поставщика, но ваш поставщик может не существовать или не создавать совместимые HSM через десять лет. У меня есть резервная копия в сейфе и два одинаково настроенных модуля Luna HSM (плюс два более старых nCipher).
Я бы генерировал случайные числа с помощью HSM (в файл), отключался (например, там, где вы управляете своим корнем), генерировал пару ключей и CSR, подписывал CSR с корнем, создавал резервную копию и импортировал пару ключей и сертификат в ХСМ.