在nCipher HSM中将pkcs11密钥重定向为jcecsp

Question

使用JCE，我能够生成对称密钥(DES3)，但是现在我需要将这些密钥重定向到PKCS11，用于只使用nCipher JCE提供者访问HSM的应用程序。我意识到--retarget命令的识别应用程序列表中没有jcecsp。

所以我的问题是:有没有办法将jcecsp添加为generatekey --retarget命令支持的应用程序？或者这在nShield HSM中是不可能的？

我得到了这个错误输出：

$ generatekey --retarget jcecsp
ERROR: sorry, application jcecsp is not currently usable

Answer 1

jcecsp有点奇怪，因为操作需要通过jcecsp的KeyStore应用程序接口。您可以使用Java keytool的-importkeystore选项，并将SunPKCS11作为源，将nCipher.sworld作为目标。如果此操作有效，则可以有效地重定关键点的目标。Java层处理密钥库文件，确保当JCE试图访问密钥时可以再次找到它。

你会有很多选择的。SunPKCS11文档在这里，https://docs.oracle.com/javase/8/docs/technotes/guides/security/p11guide.html，请参阅泰利斯文档，了解有关nCipherKM方面的信息。