【发布时间】:2014-10-09 03:58:43
【问题描述】:
我有一个来自 HSM 的 PKCS11 库,我想使用 OpenSSL 与 PKCS11 库交互以生成密钥和证书。
如何在无需安装 HSM 之外的外部第三方软件、HSM 提供的 PKCS11 二进制文件和 OpenSSL 的情况下做到这一点。
【问题讨论】:
【发布时间】:2014-10-09 03:58:43
【问题描述】:
根据您的库包含的具体内容、编译方式以及与 OpenSSL 的兼容程度,我相信您只需要使用 openssl engine 命令即可,尽管我之前从未使用过它来添加引擎。
这似乎是一个很好的信息来源。它谈到了一些第三方软件,但我认为这只是为了测试/故障排除(除非您考虑 EVP、OpenSSL API、第三方软件)。从第 26 页开始,似乎有一些关于如何将 PKCS11 引擎添加到 OpenSSL 的综合文档。
【讨论】:
-
我相信提供与智能卡一起使用的工具和库的 OpenSC 提供了兼容 OpenSSL 的 PKCS11 引擎,但它旨在与兼容 OpenSC 的智能卡或至少支持开放标准访问协议的智能卡接口,例如用于 USB 连接的智能卡的 CCID。你会认为密码学和 HSM 的世界应该有一些标准化,但即使通过谷歌搜索,你也会发现它确实是一团糟。无论如何,您需要先进行测试。查看OpenSC's PKCS11 engine for OpenSSL。