Supponiamo di avere un'applicazione che richiede certificati (HTTPS, MQTT, ecc.) a causa dell'uso di TLS. Sto pianificando di costruire la mia gerarchia PKI di livello 1 con i certificati di dispositivo di firma CA della mia società. Uno dei nostri prodotti ha un TPM disponibile su cui posso creare una coppia di chiavi RSA 2K. La mia domanda qui è, se posso firmare la chiave pubblica della coppia di chiavi che è stata generata all'interno del TPM.
Secondo me questo dovrebbe funzionare come segue:
- genera la coppia di chiavi sul TPM
- esporta la chiave pubblica della coppia di chiavi dal TPM
- genera un CSR che include la chiave pubblica generata dal TPM
- avere il CSR firmato dalla mia CA e memorizzare il certificato sul dispositivo (non è necessario che sia sul TPM)
Ora la mia libreria crittografica deve essere configurata di conseguenza per utilizzare il TPM ogni volta che sono richieste operazioni con chiave privata.