3个问题:
1.有谁知道有一家CA公司允许我把购买的CA证书放在SoftHSM中(与HSM相同,但没有任何硬件,这是纯软件)?
2.PKCS11接口(interface)使用起来困难吗?我有一个可以签署文档的 Java 应用程序。但我需要通过PKCS11接口(interface)进行通信。以前有人有过这方面的经验吗?有这方面的教程吗?
3.如果我购买了受信任的证书,为什么他们不以 .crt 形式提供它?我有试用证书,但我的浏览器只是导入它。不知道在哪里下载此证书,因此我可以将其存储在我的 hsm 中。
请帮我理清思路。
最佳答案
迟到的回答,这之前没有引起我的注意:
任何公司都应该这样做。 您生成 key 对并创建证书请求。然后他们签署您的请求并给您一个证书。 您将私钥存储在哪里通常不是他们关心的问题。对于更高端的证书,您的身份是。
如果您只需要签名并且拥有 RSA 或 ECDSA 私钥,那么您可以使用 Java PKCS#11 提供程序。然后,您只需在配置后使用标准
Signature类即可。不过,正确配置 HSM 本身就是一门艺术。您可以正常再次导出证书,否则右键单击并下载。它的处理方式是由 MIME 类型决定的。您还可以使用例如wget,它只会使用您提供的链接下载。
关于java - 来自CA公司的根证书,可以通过SoftHSM加密,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21829531/