基于HSM的证书的私钥是什么样子的？

Question

有人能解释一下，当密钥本身存储在HSM上时，证书私钥的解剖结构是什么吗？在本例中，我使用的是nShield，但是我假设，对于任何使用HSM私钥指针创建证书的HSM，主体都是相同的。

有两个方面我很难理解，而且没有太多的信息，…或者我在找错误的关键词。

1. 当我在证书管理器(Windows)中打开证书时，它会显示我确实拥有证书的私钥。我意识到这只是一个指针，但是Windows仍然将数据识别为一个有效的私钥，这怎么可能呢？它如何愚弄Windows，使其认为它是一个真正的私钥？
2. 如果我试图使用证书中的私钥(即签名)，它将私钥操作重定向到HSM。我认为CSP应该对此负责，但是证书如何知道使用哪一个CSP呢？

我正在努力获得更好的理解，这样我就可以编写允许用户利用证书进行密码操作的软件，而不必依赖PKCS11或供应商的API。

谢谢！！

Answer 1

在理论层面上，这是可能的，因为公钥和私钥在数学上是相连的。这意味着，如果密钥存储提供程序包含给定证书的私钥，则可以查询它。在Windows中，处理此问题的是加密服务提供程序(CSP)。HSM供应商提供了与Windows密码API集成的软件。有关该体系结构的一些详细信息可以在本文：密钥存储与检索中找到。

您不需要深入了解Windows密码体系结构的详细信息就可以编写软件。Microsoft提供了向应用程序开发人员公开此功能的API。如果使用的是.NET框架，则可以查看System.Security.Cryptography和System.Security.Cryptography.X509Certificates名称空间。