OpenTSA e PKCS11

1

Stiamo pianificando di implementare il servizio di timestamp ( RFC 3161 ) usando OpenTSA e volevamo sapere:

OpenTSA supporta PKCS # 11 (Cryptoki) per parlare con HSM?

BTW: Non ho trovato documentazione o molte informazioni su OpenTSA.

Sarebbe davvero utile se si potesse commentare il supporto di PCKS # 11 di OpenTSA.

    
posta java_enthu 01.07.2014 - 14:54
fonte

1 risposta

2

Penso che tu stia chiedendo come generare una risposta data / ora come definito nel protocollo timestamp: RFC3161 , con openssl per generare e firmare la risposta utilizzando un PKCS#11 (HSM nel tuo caso) come un firmatario TSA.

Penso che non ci sia modo nativo di usare PKCS#11 con openssl per farlo. (magari con qualche plugin come: openscp motore pkcs11 per openssl ).

Se dai un'occhiata alla documentazione del comando ts : link . Per generare una risposta data / ora è possibile utilizzare il comando follow:

openssl ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password_src] [-signer tsa_cert.pem] [-inkey private.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id]

Il certificato del firmatario TSA e la chiave privata sono specificati nei seguenti parametri che specificano che entrambi devono essere in formato PEM, quindi sembra che l'utilizzo di PKCS#11 non sia possibile.

-signer tsa_cert.pem The signer certificate of the TSA in PEM format. The TSA signing certificate must have exactly one extended key usage assigned to it: timeStamping. The extended key usage must also be critical, otherwise the certificate is going to be refused. Overrides the signer_cert variable of the config file. (Optional)

-inkey private.pem The signer private key of the TSA in PEM format. Overrides the signer_key config file option. (Optional)

Tuttavia, come ho commentato prima, può essere possibile utilizzare forse opensc pkcs11 engine per openssl, non posso confermare se funziona perché non conosco il motore. Dai un'occhiata a questa guida introduttiva che potrebbe metterti nella giusta direzione.

Spero che questo aiuti,

    
risposta data 15.09.2014 - 23:41
fonte

Leggi altre domande sui tag