Pkcs11 x509链验证

Question

我目前正在用HSM实现一个安全的通道设置。该协议是专有的，但使用标准的加密机制(rsa sha)。

在securre通道设置中，我们接收一堆证书，最后一个证书是远程设备个人证书。这个链必须用高级语言进行验证，没有问题。但我找不到任何例子，这是如何用pkcs11接口完成的。我觉得在pkcs11中没有证书链验证方法吗？我必须删除每个证书并使用基本的pkcs11函数计算签名吗？这并不是很安全，您需要将整个堆栈传递给HSM，HSM会返回: OK或NOT。在确定的情况下，设备证书的公钥(在本例中)可用于加密随机信道密钥等。

所以问题是，这通常是如何用pkcs11完成的？

Answer 1

X.509证书链验证是较低级别的PKCS#11 API中不直接支持的高级操作(在证书签名请求生成、证书颁发等方面也是如此)。为此，您需要使用其他通用密码库(如OpenSSL )。