远程高速加工的pkcs11

Question

寻求在远程高速机床上使用PKCS11的帮助。

我有一个小型linux主机，安装了HSM卡。HSM提供了库和实用程序脚本，以便在该主机上与其交互。其中包括一个pkcs11实用程序。我无法掌握的是如何远程访问这个。我知道pkcs11提供了一个API。但我不知道如何使用它作为更大的PKI基础设施的一部分。如果我在另一个linux主机上使用openssl (或其他pki工具包)对证书请求进行签名，我需要访问存储在我的主机上的私钥及其HSM。我该怎么做？

openssl命令有一些使用pkcs11的组件，如“…”-engine pkcs11 -keyform engine -keyfile "pkcs11:model=PKCS…serial=xxxxx ;token= xxxxx UserPIN= xxx…“等等。这显然没有联系到网络服务。那么，在这种情况下，如何才能到达提供签名密钥的远程HSM呢？

我是不是理解错了？是否需要将整个CSR文件发送到HSM主机并提交给签名？例如，将ssh传递给主机并将CSR传递给脚本，然后运行pkcs11库函数返回证书，然后将其提供给基于ssh的请求？

我漏掉了关于这一切的一些细节。对援助表示感谢。谢谢。

Answer 1

正如您正确声明的那样，PKCS#11标准定义了一个名为Cryptoki的API。OpenSSL允许使用连接到DLL/SO实现此API的引擎("Cryptoki库“)。这是DLL/的本质，因此需要在本地完成。然后，Cryptoki库将与“密码令牌”进行对话，在您的示例中，这是一个HSM。

因此，您应该查看HSM的Cryptoki库的文档--如何指定远程HSM而不是本地HSM。这超出了标准和供应商的要求。

但是每个供应商都提供这个功能。但是，它还需要安装HSM的服务器上的一些守护进程来接受来自远程库的传入连接。通常，供应商销售可以在本地使用的PCI卡和远程使用的网络设备。

一个选项可以是PKCS#11转发。您可能会看到https://p11-glue.github.io/p11-glue/p11-kit/manual/remoting.html，但我从未使用过该工具。

Answer 2

我安装并配置了pkcs11转发机制，引用了离子在初始答案中的链接。它如预期的那样工作。一些包含正确库的包和版本的一些小问题，以及对系统运行用户特性的一些了解是我唯一的障碍。ssh转发unix套接字的能力令人印象深刻。在安装时，我可以使用本地套接字对pkcs11 11工具命令使用HSM在单独的主机上存储的秘密来查询和签名请求。谢谢你的主意。