【问题标题】:How to set HSM Provider in my CSR如何在我的 CSR 中设置 HSM Provider
【发布时间】:2017-04-16 04:54:31
【问题描述】:

我的 hsm 中有一个密钥对,我想从中生成 CSR。我使用 Open SSL 和这些代码。生成 CSR 时,它没有 hsm 提供程序。如何在我的 csr 中设置 hsm 提供程序?

 openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
pkcs11 = pkcs11_section
[pkcs11_section]
engine_id = pkcs11
dynamic_path = enginepkcs11
MODULE_PATH =  cs2_pkcs11
PIN = 123456
init = 0
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
[ dn ]

我的问题已编辑。我在评论中解释了 .inf 文件。

[NewRequest]
Subject=""
Exportable=True
KeyLength=..
keyUsage=..
UserProtected=FALSE
MachineKeySet=..
ProviderName="...CSP provider..."
UseExistingKeySet=..
RequestType=..

【问题讨论】:

  • 我在创建 .inf 文件时编辑了我的问题。并在 Windows 中使用 certreq 命令。我可以设置 Providername,在生成 csr 后,providername 字段作为属性在 csr 中。 cert req 命令可以找到带有 providername 的存储,但是当我在我的问题中使用 Pkcs#11 时,找到了带有 dll 地址的存储,我无法确定 hsm 中的密钥对与否。

标签: openssl pkcs#11 csr hsm


【解决方案1】:

CSR (PKCS#10) 不能有提供者信息。 CSR 基本上是您的公钥 + 您的数据,例如(主题 DN)+ 签名算法,以特定格式组合,并由您的私钥签名。

有关 PKCS#10 here 的更多信息。

【讨论】:

    【解决方案2】:

    必须在使用的 openssl 配置文件中指定 CSR 的属性。根据the man page,您可以指定一个 attribute 部分。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-04-03
      • 2011-12-21
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多