3个问题:
1.是否有人知道一家CA公司允许我将购买的CA证书放入SoftHSM(与HSM相同,但没有任何硬件,这是纯软件)?
2.难以使用PKCS11接口吗?我有一个Java应用程序,它将签署文档。但我需要通过PKCS11接口进行通信。以前有人有过这方面的经验吗?有没有这方面的教程?
3.如果我购买了受信任的证书,他们为什么不在.crt中提供?我有试用证书,但我的浏览器只是导入它。看不到在哪里下载这个证书,所以我可以将它存储到我的hsm。
请帮助我清醒一下。
答案 0 :(得分:1)
迟到的回答,这在我之前没有得到我的关注:
任何公司都应该这样做。 您生成密钥对并创建证书请求。然后他们签署您的请求并给您一张证书。 你存储私钥的地方通常不是他们关注的问题。对于更高端的证书,您的身份是。
如果您只需要签名并且拥有RSA或ECDSA私钥,那么您可以使用Java PKCS#11提供程序。然后,您只需在配置后使用标准Signature类。要正确配置HSM,它本身就是一门艺术。
您通常可以再次导出证书,否则请右键单击并下载。处理它的方式是因为MIME类型。您也可以使用例如wget,只需使用您提供的链接下载。