我正在考虑克隆一个CA,它的私钥存储在从环境A到环境B的HSM中。但是,如果私钥无法克隆,无论如何我们都可以启动CA服务我可以生成新的密钥对/ CSR或重新初始化它而不是重新安装CA服务吗?
基本上,如果有其他解决方案(例如编辑注册表或某些配置文件),我会尝试避免重新安装CA服务。
答案 0 :(得分:0)
某些HSM允许您将私钥材料备份和还原到安全令牌上。我知道,例如,Safenet的Luna SA允许这样做。您可以备份密钥材料,然后将其还原到辅助HSM或单独的HSM分区(如果您的HSM支持这些分区),以有效克隆CA密钥材料。