如何将CKA_TRUSTED设置为真？

Question

我对PKCS#11 v2.40规范的措辞感到困惑，因为在公钥证书对象上何时可以将CKA_TRUSTED设置为true：

应用程序不能将CKA_TRUSTED属性设置为CK_TRUE。它必须由令牌初始化应用程序或令牌的SO设置。不能修改受信任的证书。

我试图调和“应用程序不能将其设置为CK_TRUE”和“它必须由令牌的SO设置为...”。这是否意味着R/W会话可以创建(或更新)一个公钥证书对象(例如CKC_WTLS)，并将CKA_TRUSTED设置为CK_TRUE？我觉得这与“不能由应用程序设置...”不太好。

Answer 1

一般来说，应用程序--一个使用令牌进行加密操作的程序--应该使用CKU_USER，而不是CKU_SO。

CKU_SO应该由保安人员使用。当然，SO通常可以与令牌通信的唯一方法是通过某种管理应用程序--有时与身份验证设备相结合，例如连接到HSM的外部PIN垫。是的，通常可以自己编写管理应用程序；当然，最好是将其混合到使用令牌中存储的关键材料的应用程序中(特别是如果您还集成了登录凭据)。

是的，SO通常可以在证书上设置信任。SO负责确保他们最终能被信任。

可以有根本无法设置信任的令牌。例如，智能卡可能有一个特定的PKCS#11接口，其中不适用任何管理操作。