Com base na orientação de um consultor, estou tentando implementar uma PKI com um HSM. Criei com sucesso um par assimétrico dentro do HSM e exportei a chave pública para um arquivo.
A partir daí, devo usar essa chave pública para criar um certificado e um CSR que enviarei de volta ao meu HSM para assinatura com a chave privada selada. É aqui que estou preso.
De preferência usando OpenSSL, como faço para conseguir isso? Já passei pelos comandos "openssl req" e "openssl x509" e não consigo descobrir como devo gerar qualquer certificado ou CSR associado a esta chave pública.
openssl-x509 -new -force_pubkey parecia promissor para fazer um certificado, mas o comando requer chaves privadas, o que não faz sentido para mim. A chave privada para assinar o item fica bloqueada no HSM para assinatura posterior.
openssl-req é o que preciso para criar o CSR, mas não há nada nesta API para associar esta chave pública ou certificado existente à solicitação.
Sinto que atingi alguma limitação da CLI do OpenSSL ou não tenho muito conhecimento sobre como devo remendar o CSR para assinatura pelo HSM.