我目前正在使用 HSM 实施安全通道设置。该协议是专有的,但使用标准加密机制(rsa sha)
在安全通道设置中,我们会收到一堆证书,最后一个是远程设备个人证书。这个链必须用高级语言验证,没问题。但是我找不到任何示例如何使用 pkcs11 接口完成此操作。我的印象是pkcs11中没有证书链验证方法?我必须剖析每个证书并使用基本的 pkcs11 函数计算签名吗?这不是很安全,您可能希望将整个堆栈传递给 HSM,它会报告:OK 或 NOT。在 OK 的情况下,(在我们的例子中)设备证书的公钥可用于加密随机通道密钥等。
所以问题是,这通常是如何用 pkcs11 完成的?