Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Associare una chiave AWS CloudHSM a un certificato
Prima di poter utilizzare le chiavi AWS CloudHSM con strumenti di terze parti, ad esempio SignTool
Passaggio 1: importare il certificato
In Windows, dovresti essere in grado di fare doppio clic sul certificato per importarlo nell'archivio certificati locale.
Tuttavia, se il doppio clic non funziona, utilizza lo strumento Microsoft Certreq
certreq -acceptcertificatename
Se questa azione non riesce e viene visualizzato l'errore Key not found, passa al passaggio 2. Se il certificato viene visualizzato nell'archivio chiavi, l'attività è stata completata con successo e non sono necessarie ulteriori azioni.
Passaggio 2: raccogliere informazioni sull'identificazione dei certificati
Se il passaggio precedente non ha avuto esito positivo, dovrai associare la chiave privata a un certificato. Tuttavia, prima di poter creare l'associazione, devi innanzitutto trovare il nome del container univoco e il numero di serie del certificato. Utilizza un'utility, ad esempio certutil, per visualizzare le informazioni necessarie sul certificato. Il seguente esempio di output da certutil mostra il nome del container e il numero di serie.
================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
Passaggio 3: associare la chiave privata AWS CloudHSM al certificato
Per associare la chiave al certificato, assicurati innanzitutto di avviare il client daemon AWS CloudHSM. Quindi, utilizza import_key.exe (incluso in CloudHsm versione 3.0 e successive) per associare la chiave privata al certificato. Quando si specifica il certificato, utilizzare il nome del contenitore semplice. L'esempio seguente mostra il comando e la risposta. Questa azione copia solo i metadati della chiave; la chiave rimane sull'HSM.
$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016
Passaggio 4: aggiornare l'archivio certificati
Assicurati che il client daemon AWS CloudHSM sia ancora in esecuzione. Quindi, utilizzare il comando di certutil, -repairstore, per aggiornare il numero di serie del certificato. L'esempio seguente mostra il comando e l'output. Vedi la documentazione di Microsoft per informazioni sul comando -repairstore
C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004" my "Personal" ================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004 Issuer: CN=Enterprise-CA NotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PM Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65 SDK Version: 3.0 Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Provider = Cavium Key Storage ProviderPrivate key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.
Dopo aver aggiornato il numero di serie del certificato è possibile utilizzare questo certificato e la chiave privata AWS CloudHSM corrispondente con qualsiasi strumento di firma di terze parti su Windows.
