可由SoftHSM加密的CA公司的根证书

Question

有没有人知道CA公司允许我将购买的CA证书放入SoftHSM (与高速加工一样，但没有任何硬件，它是纯软件)？

是否很难使用PKCS11接口？我有一个Java应用程序，它将签署文档。但我需要通过PKCS11接口进行通信。以前有人有过这样的经历吗？有关于这个的教程吗？

Answer 1

不，我怀疑任何一家严肃的CA公司都不能允许你在真正的HSM之外操作CA密钥。此外，从技术和操作的角度来看，完成对PKI的成功第三方审核也很可能是强制性要求。

Oracle为Java加密API提供了PKCS#11加密提供程序。然而，我从未将此提供程序用于严肃的目的。您可以找到正式文档这里。此提供程序是标准Java发行版的一部分。

请注意，一些HSM供应商也可能在他们的HSM中附带一个专用Java，这比PKCS#11 API更适合他们的产品特性。我知道泰勒斯nCipher HSM有这样一个库。