Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Asociar una clave de AWS CloudHSM con un certificado
Para poder utilizar claves de AWS CloudHSM con herramientas de terceros, como SignTool
Paso 1: Importar el certificado
En Windows, debería poder hacer doble clic en el certificado para importarlo en el almacén de certificados local.
Sin embargo, si el doble clic no funciona, utilice la herramienta Microsoft Certreq
certreq -acceptcertificatename
Si esta acción no se realiza correctamente y aparece el error Key not found, continúe en el paso 2. Si el certificado aparece en el almacén de claves, la tarea se habrá completado correctamente y no será necesario realizar más acciones.
Paso 2: Recopilar información de identificación del certificado
Si el paso anterior no se realizó correctamente, deberá asociar la clave privada con un certificado. Sin embargo, antes de poder establecer esta asociación deberá buscar primero el nombre único del contenedor y el número de serie del certificado. Utilice una utilidad, como certutil, para mostrar la información necesaria del certificado. En el siguiente ejemplo de la salida de certutil, se muestra el nombre del contenedor y el número de serie.
================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
Paso 3: Asociar la clave privada de AWS CloudHSM con el certificado
Para asociar la clave con el certificado, no olvide primero iniciar el demonio del cliente de AWS CloudHSM. A continuación, utilice import_key.exe (que se incluye en CloudHSM 3.0 y versiones posteriores) para asociar la clave privada con el certificado. Cuando especifique el certificado, utilice el nombre simple de contenedor. En el ejemplo siguiente, se muestra el comando y la respuesta. Esta acción solo copia los metadatos de la clave; la clave permanece en el HSM.
$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016
Paso 4: Actualizar el almacén de certificados
Asegúrese de que el demonio del cliente de AWS CloudHSM sigue en ejecución. A continuación, utilice el verbo -repairstore de certutil para actualizar el número de serie del certificado. En el siguiente ejemplo, se muestra el comando y la salida. Consulte la documentación de Microsoft para obtener información sobre el verbo -repairstore
C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004" my "Personal" ================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004 Issuer: CN=Enterprise-CA NotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PM Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65 SDK Version: 3.0 Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Provider = Cavium Key Storage ProviderPrivate key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.
Una vez que el número de serie del certificado está actualizado, puede utilizar este certificado y la clave privada de AWS CloudHSM correspondiente con cualquier herramienta de firma de terceros de Windows.
