根据顾问的指导,我正在尝试使用 HSM 实施 PKI。我已成功在 HSM 内创建非对称对,并将公钥导出到文件中。
从那里,我应该使用这个公钥创建一个证书和 CSR,然后将其提交回我的 HSM,以便使用密封的私钥进行签名。这就是我陷入困境的地方。
最好使用 OpenSSL,我该如何实现?我已经尝试过“openssl req”和“openssl x509”命令,但似乎无法弄清楚如何最终生成与此公钥相关的任何证书或 CSR。
openssl-x509 -new -force_pubkey 看起来很有希望生成证书,但该命令需要私钥,这对我来说毫无意义。签名的私钥被锁定在 HSM 中,以便稍后签名。
openssl-req 是我最终创建 CSR 所需要的,但此 API 中没有任何内容可以将现有的公钥或证书与请求关联起来。
我觉得我要么遇到了 OpenSSL CLI 的某些限制,要么我缺乏关于如何拼凑 CSR 以供 HSM 签名的重要知识。