Devo generare un CSR sul mio HSM con un utilizzo chiave critico di Non ripudio?

Naviga le tue risposte
0

Come sopra, stavamo pianificando di fare quanto segue:

  • Accedi al nostro HSM (Luna SA)
  • Genera CSR
  • Invia CSR a CA di terze parti
  • Aggiungi l'utilizzo critico della chiave di Non ripudio nel portale di terze parti
  • Invia la CSR ora firmata (chiave pubblica del nostro partner commerciale) che ha l'uso della chiave

È importante che non abbia aggiunto l'attributo di utilizzo chiave durante la generazione CSR su HSM poiché non riesco a trovare un modo per aggiungere l'utilizzo della chiave con il software client HSM?

Saluti

    
posta Steve 21.08.2017 - 09:56
fonte

2 risposte

1

Ogni strumento dovrebbe essere usato per quello che fa meglio. L'HSM è ottimo per proteggere una chiave privata consentendo di usarlo senza far fuoriuscire il modulo hardware.

Ma IMHO, la generazione e la convalida CSR devono essere eseguite prima di inviare un CSR convalidato all'HSM solo per la firma.

    
risposta data 21.08.2017 - 11:35
fonte
1

Di norma, la CA è responsabile solo della firma delle estensioni approvate (in genere descritte nel proprio CPS) e può aggiungere estensioni in base al tipo di certificato. Vorrei verificare con la CA.

Per la maggior parte delle CA elimineranno le estensioni fornite e aggiungeranno solo quelle che includono dal proprio modello / tipo di certificato. Ad esempio, potresti avere l'estensione CA: TRUE nel tuo CSR, ma nessuna CA sta per firmare semplicemente senza prima rimuovere quel valore. D'altro canto, se si richiede espressamente un certificato di nonregistrazione, la CA dovrebbe aggiungerlo per sé anche se non si trova nel CSR, poiché il certificato risultante non funzionerà come richiesto senza di esso.

    
risposta data 21.08.2017 - 14:00
fonte

Leggi altre domande sui tag

Backdoor hardware / firmware: TPM come rischio per la sicurezza - Come trasformarlo in vantaggio di sicurezza? Perché il mio indirizzo IP è diverso quando mi collego a una VPN?