使用PKCS#11 HSM验证SSL请求

Question

我试图向我编写的一个网站提出一个web请求，它要求客户端提供认证证书。

具体来说，我正在尝试编写一个C# (或VisualC++)应用程序，该应用程序可以发出web请求，但在我的HSM上使用证书和私钥。

我知道这里有一个类似的问题，但还没有得到我想要的答案。

我已经可以：

• P/调用我的本机pkcs#11库( DLL)、登录、查找/创建上的对象
• 使用pkcs#11接口，我可以读取HSM上的X509证书

我不能：

• 从HSM导出私钥。这是不可出口的。

因此，我需要的是一种从我的应用程序中发出一个Web请求的方法，并说：“对于握手，在我的HSM上使用X509和私钥对象。”

请不要建议我“检查”像NCryptoki，弹跳城堡等东西-我已经可以用它们来制作我的Windows应用程序了。与HSM沟通。我需要的是如何制作Windows应用程序。在HSM上的凭据上下文下发出一个web请求。

Answer 1

当您通过pkcs#11本机调用获得证书时，您没有附加私钥。私钥进行解密，因此我们需要it.To绕过它，您有两个选项：

1. 在安装期间，几乎所有设备都注册了加密服务提供程序。例如，您可以在该提供程序上包装一个RSACryptoServiceProvider，并将其分配给证书的PrivateKey属性。
2. 一些设备驱动程序将证书从HSM同步到个人证书存储区。如果从Windows存储区选择证书，它将自动附加加密服务提供程序。所以丢失的私钥问题就消失了。只需将证书添加到ClientCertificates集合即可。

你可以想象，如果可以的话，我会推荐第二种选择。