问题描述
我是 HSM 的新手。
我想在 Linux 环境中使用 MSCAPI 从 HSM 访问加密功能。
我的客户要求应该可以使用 MSCAPI 访问 HSM。
所以我很困惑如何使用 MSCAPI 在 Windows 中扩展 HSM(运行在 Linux 中的 HSM)功能
请帮忙。
问候, 维鲁泰·保罗
解决方法
有人购买 PCIe HSM 的原因是因为您无法从安装它的平台之外访问它。这称为“离线”,它是“离线根证书颁发机构”使用的首选操作案例。您不希望有人能够访问它,除非他们登录到该机器。
“离线”的对立面是“在线”访问,这通常由 HSM 供应商提供,通过销售带有两个东西的设备:
- PCIe HSM
- 位于套接字上并将传入流量传递到 HSM 并返回结果的服务器守护程序。
如果您需要从任何其他系统访问 PCIe HSM,无论它运行的是什么操作系统,则需要在 HSM 的主机上运行服务器。
没有服务器?没有访问权限。
您当然可以以某种方式实现服务器,以便服务器提供必要的访问。我不会——如果您不确切地知道自己在做什么,您可以打开安全漏洞并允许您的 HSM 访问受到损害。
运行自己的服务器的风险和责任是 HSM 供应商对设备收取如此高昂费用的原因(即,对于您在硬件中获得的东西,设备比 PCIe 卡的溢价似乎非常非常高),因为实际上成本包括服务器守护程序的风险和责任方面。
因此,访问的第一步是:供应商是否提供服务器应用程序,使 PCIe HSM 对网络的其余部分“可见”。