我目前正在使用HSM实施安全通道设置。 该协议是专有的,但使用标准的加密机制(rsa sha)
在securre频道设置中,我们会收到一堆证书,最后一张 远程设备个人证书。 必须使用高级语言验证此链,没有问题。 但我找不到任何使用pkcs11接口完成此操作的示例。 我的印象是pkcs11中有没有证书链验证方法? 我必须检查每个证书并使用基本的pkcs11计算签名 功能?这不是很安全,您可能希望将整个堆栈传递给HSM,HSM会报告:OK或NOT。在OK的情况下,(在我们的例子中)设备证书的公钥可以用于加密随机信道密钥等等。
所以问题是,这通常是用pkcs11完成的吗?
答案 0 :(得分:0)
X.509证书链验证是高级别操作,在较低级别的PKCS#11 API中不直接支持(证书签名请求生成,证书颁发等也是如此)。您需要使用其他一些通用加密库,例如OpenSSL。