我们可以使用HSM创建证书签名请求(CSR)吗？

Question

我可以使用HSM生成CSR吗？如果是，那么请引导我们。这会很有帮助的。

以下是我们的系统细节：

• 我们有HSM(SafeNet)模拟器测试开发应用。
• 我们使用基于桌面应用程序的Cryptoki.dll来执行加密操作。

现在我们想知道HSM是否能产生CSR？如果是，那怎么做？

Answer 1

我进行了研究并遵循了PKCS #11 OASIS文档标准：

http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html

最后，我能够管理来自HSM的证书请求(CSR)。

以下是实现这一目标的步骤：

1. 生成密钥对(私有、公共)
2. 从公钥派生密钥(C_DeriveKey)，并给出以下属性：
   • 机制- ENCODE_PKCS_10 (证书请求)
   • 签名密钥(私钥)
   • 签名机制- SHA1_RSA_PKCS

Answer 2

1. 在HSM中生成带有公钥和私钥标签的RSA KeyPair。
2. 把HSM公钥拿出来。将HSM公钥转换为模数和公共指数的基于Java的公钥(使用RSAPublicKeySpec类)
3. 使用主题和公钥创建CertificateRequestInfo (步骤2)
4. 在HSM内用私钥签署步骤3的数据(使用私钥标签和findObject定位私钥)
5. 使用算法、签名(步骤4)和CertificationRequestInfo(步骤3)计算CertificationRequestValue
6. 将步骤5的结果编码为Base64，并添加“

我遵循这里的代码- https://gist.github.com/dopoljak/e7550dd0c01a3438c24c并根据我的需求进行了修改。

感谢多马戈吉·波尔贾克!！

干杯