我的公司购买了HSM,我们将在那里生成密钥对和csr然后将csr传递给CA,一旦从CA接收到.cer,我们需要将.p12提供给用户。这种安排是否可行?因为我听说HSM不允许出口任何东西。如何在Luna HSM中做到这一点?
答案 0 :(得分:1)
根据Luna文档,以下内容将在HSM上创建请求(您需要调整选项:
cmu requestCert -publichandle=6 –privatehandle=7 -C=CA -L=Ottawa -O="Rainbow-Chrysalis" -CN="Test Certificate" -outputFile=testCert.req
但是,您说您要将其导出为PKCS#12文件以提供给用户。这就引出了为什么你首先使用HSM的问题。 HSM背后的想法是保护您的私钥。如果您在PKCS#12文件中导出它,它会使对象失败;您也可以在软件中生成私钥和证书请求。
答案 1 :(得分:0)
如果您的CA需要大约20年,最好在HSM外部备份密钥并将备份锁定在保险箱中(这并不像听起来那么简单,请仔细计划)。然后将密钥导入HSM(使用cmu importkey,使用cmu导入的证书)。如果您的密钥是在HSM内部生成的,那么它只会在同一供应商的类似HSM中解锁,但您的供应商可能不存在,或者可能在十年后才构建兼容的HSM。我有一个安全备份和两个相同配置的Luna HSM(加上两个较旧的nCiphers)。
我使用HSM生成随机数(进入文件),脱机(如操作根目录),生成密钥对和CSR,使用root用户签名CSR,创建备份和导入密钥对和证书进入HSM。