Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Asociar una AWS CloudHSM clave a un certificado
Antes de poder utilizar AWS CloudHSM las claves con herramientas de terceros, como las de Microsoft SignTool
Paso 1: Importar el certificado
En Windows, debería poder hacer doble clic en el certificado para importarlo en el almacén de certificados local.
Sin embargo, si el doble clic no funciona, utilice la herramienta Microsoft Certreq
certreq -acceptcertificatename
Si esta acción no se realiza correctamente y aparece el error Key not found, continúe en el paso 2. Si el certificado aparece en el almacén de claves, la tarea se habrá completado correctamente y no será necesario realizar más acciones.
Paso 2: Recopilar información de identificación del certificado
Si el paso anterior no se realizó correctamente, deberá asociar la clave privada con un certificado. Sin embargo, antes de poder establecer esta asociación deberá buscar primero el nombre único del contenedor y el número de serie del certificado. Utilice una utilidad, como certutil, para mostrar la información necesaria del certificado. En el siguiente ejemplo de la salida de certutil, se muestra el nombre del contenedor y el número de serie.
================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
Paso 3: Asocie la clave AWS CloudHSM privada al certificado
Para asociar la clave al certificado, primero asegúrese de iniciar el daemon del AWS CloudHSM cliente. A continuación, utilice import_key.exe (que se incluye en CloudHSM 3.0 y versiones posteriores) para asociar la clave privada con el certificado. Cuando especifique el certificado, utilice el nombre simple de contenedor. En el ejemplo siguiente, se muestra el comando y la respuesta. Esta acción solo copia los metadatos de la clave; la clave permanece en el HSM.
$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016
Paso 4: Actualizar el almacén de certificados
Asegúrese de que el daemon del AWS CloudHSM cliente sigue ejecutándose. A continuación, utilice el verbo -repairstore de certutil para actualizar el número de serie del certificado. En el siguiente ejemplo, se muestra el comando y la salida. Consulte la documentación de Microsoft para obtener información sobre el verbo -repairstore
C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004" my "Personal" ================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004 Issuer: CN=Enterprise-CA NotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PM Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65 SDK Version: 3.0 Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Provider = Cavium Key Storage ProviderPrivate key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.
Tras actualizar el número de serie del certificado, puede utilizar este certificado y la clave AWS CloudHSM privada correspondiente con cualquier herramienta de firma de terceros en Windows.
