OpenTSA是否支持PKCS11与HSM对话？

Question

我们计划使用RFC 3161实现时间戳服务( OpenTSA )，想知道: OpenTSA是否支持PKCS-11 (Cryptoki)与HSMs对话？

顺便说一句:我没有找到关于OpenTSA的文档或很多信息。如果您能够评论OpenTSA对PCKS 11的支持，这将是非常有帮助的。

Answer 1

我认为您是在问如何生成时间戳-协议定义的时间戳响应：RFC3161，使用openssl生成和签名响应，使用PKCS#11 (在您的情况下)作为TSA签名者。

我认为没有使用PKCS#11和openssl进行此操作的原生方法。(可能是一些插件，比如：openssl的开放源码pkcs11 11引擎)。

如果您查看ts命令文档：https://www.openssl.org/docs/apps/ts.html。要生成时间戳响应，可以使用以下命令：

openssl ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password_src] [-signer tsa_cert.pem] [-inkey private.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id]

TSA签名者证书和私钥是在以下参数中指定的，这些参数指定两者都必须是PEM格式，因此似乎不可能使用PKCS#11。

-signer tsa_cert.pem是tsa_cert.pem格式的TSA的签名者证书。TSA签名证书必须有一个分配给它的扩展密钥用法: timeStamping。扩展密钥的使用也必须是关键的，否则证书将被拒绝。重写配置文件的signer_cert变量。(可选) -inkey private.pem是private.pem格式的TSA的签名者私钥。重写signer_key配置文件选项。(可选)

然而，正如我之前评论的那样，可能会使用opensc pkcs11引擎进行openssl，但我无法确定它是否有效，因为我不熟悉它。看看这个快速启动指南，它可能会让你走上正确的方向。

希望这能帮上忙