SoftHSMで暗号化できるCA会社からのルート証明書
購入したCA証明書をSoftHSM内に配置できるCA会社を知っている人はいますか(HSMと同じですが、ハードウェアがなく、純粋なソフトウェアです)。
PKCS11インターフェースを操作するのは難しいですか?ドキュメントに署名するJavaアプリケーションがありますが、PKCS11インターフェイスを介して通信する必要があります。これまでに経験したことのある人はいますか?これに関するチュートリアルはありますか?
いいえ、真面目なCA企業が実際のHSMの外部でCAキーを操作できるとは思えません。さらに、技術的および運用上の観点から、PKIのサードパーティ監査を成功させることも必須要件である可能性が高いです。
オラクルは、Java Cryptographic API用のPKCS#11暗号化プロバイダーを提供しています。ただし、このプロバイダーを深刻な目的で使用したことはありません。公式ドキュメントを見つけることができます ここ 。このプロバイダー標準のJavaディストリビューションの一部です。
一部のHSMベンダーは、PKCS#11APIよりも製品機能に適した専用のJava APIをHSMとともに出荷する場合があることに注意してください。ThalesnCipherHSMにはそのようなライブラリがあることを知っています。