как создать файл .p12 в Luna HSM

моя компания купила HSM, и мы сгенерируем пару ключей и csr внутри него, а затем передадим csr в ЦС, после получения .cer из ЦС нам нужно предоставить .p12 пользователю. Возможен ли такой расклад? Потому что я слышал, что HSM не позволяет ничего экспортировать. Как это сделать в Luna HSM?


ca pki hsm
person D Y    schedule 13.03.2018    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Согласно документации Luna, следующее создаст запрос на HSM (вам нужно будет настроить параметры:

cmu requestCert -publichandle=6 –privatehandle=7 -C=CA -L=Ottawa -O="Rainbow-Chrysalis" -CN="Test Certificate" -outputFile=testCert.req

Однако вы говорите, что собираетесь экспортировать это как файл PKCS # 12 для передачи пользователю. Возникает вопрос, почему вы вообще используете HSM. Идея HSM заключается в том, что он защищает ваш закрытый ключ. Если вы экспортируете его в файл PKCS#12, он уничтожает объект; и вы также можете сгенерировать закрытый ключ и запрос сертификата в программном обеспечении.

person garethTheRed    schedule 14.03.2018
comment
Если я генерирую закрытый ключ в программном обеспечении, его трудно защитить, пока я жду .cer от центра сертификации. Итак, что касается ЦС, хотя они и будут предоставлять файл pkcs12 некоторым пользователям, я полагаю, что они также используют HSM для выполнения этой функции, не так ли? Да, вы правы, я не уверен, правильно ли использовался HSM. Любые документы или варианты использования по использованию действия в качестве центра сертификации и в качестве хранилища ключей/сертификатов, которые должны быть подписаны доверенным центром сертификации? - person D Y; 15.03.2018

arrow_upward
0
arrow_downward

Если вам нужен ЦС примерно на 20 лет, рекомендуется иметь резервную копию ключа за пределами HSM и запирать резервную копию в сейфе (хотя это не так просто, как кажется, тщательно планируйте). Затем ключ импортируется в HSM (с ключом импорта CMU и сертификатом с импортом CMU). Если ваш ключ сгенерирован внутри HSM, он будет разблокирован только в аналогичном HSM от того же поставщика, но ваш поставщик может не существовать или не создавать совместимые HSM через десять лет. У меня есть резервная копия в сейфе и два одинаково настроенных модуля Luna HSM (плюс два более старых nCipher).

Я бы генерировал случайные числа с помощью HSM (в файл), отключался (например, там, где вы управляете своим корнем), генерировал пару ключей и CSR, подписывал CSR с корнем, создавал резервную копию и импортировал пару ключей и сертификат в ХСМ.

person user1831839    schedule 22.03.2018