主页 / server / 问题 / 1091363
Accepted
Peter Kahn
Asked: 2022-01-28 07:12:06 +0800 CST

添加与 Cavium (AWS CloudHSMv2) 相关的证书时,Windows 不会创建分配“密钥容器”

  • 772

我有两个 Windows 系统与 AWS CloudHSM v2(cavium HSM)相关联。一方面,我生成了 CSR,并接受/添加了使用该 CSR 购买的证书。我可以签名并通过密钥容器从 HSM 正确提取私钥。

另一个签名是我的生产签名系统,它与现有证书一起正常工作,但是当我尝试添加新证书时,没有Key Container设置。我习惯于需要运行修复过程,但在这种情况下,我没有提供文件的 ID。

  1. 认证"\Program Files\Amazon\CloudHSM\tools\set_cloudhsm_credentials.exe" --user REDACTED --password "..."
  2. 添加证书certutil -addstore my my-new-cert.crt
  3. 转储商店详细信息certutil -store my > cert_store_details.txt
    Serial Number: REDACTED
    Issuer: CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, O=DigiCert, Inc., C=US
     NotBefore: 1/25/2022 12:00 AM
     NotAfter: 1/25/2023 11:59 PM
    Subject: CN=REDACTED, C=US, SERIALNUMBER=REDACTED, OID.1.3.6.1.4.1.311.60.2.1.2=Delaware, OID.1.3.6.1.4.1.311.60.2.1.3=US, OID.2.5.4.15=Private Organization
    Non-root Certificate
    Cert Hash(sha1): REDACTED
    No key provider information
    Cannot find the certificate and private key for decryption.

通常,我会创建一个 repair.txt 像这样在和之间使用Key Containerid但是,我没有其中一个,所以我不走运=&Container

        [Properties]
        11 = "" ; Add friendly name property
        2 = "{text}" ; Add Key Provider Information property
        _continue_="Container=&"
        _continue_="Provider=Cavium Key Storage Provider&"
        _continue_="Flags=0&"
        _continue_="KeySpec=2"

如果我只是进行维修certutil -repairstore my "REDACTED",那么我会被要求提供智能卡。哦,这台机器是 Windows Core 2016(所以没有 UI 或有限的 UI)。

windows security certificate pki

1 个回答

  1. Best Answer

    好的,这是来自 AWS 支持的答案 - 希望他们会将其添加到他们的文档中

    1. 确定私钥和公钥的 CloudHSM 文件句柄(您可以通过从证书中转储模数并使用 hsm 工具寻找密钥来完成此操作。但是,我在生成 CSR 之前和之后报告了句柄,因此我可以添加它们到我的安全文档 - 所以我不需要这样做

    2. 创建 KSP 容器

    C:\Program Files\Amazon\CloudHSM>import_key.exe -from HSM 
  -privateKeyHandle <private key handle> -publicKeyHandle <public key handle>

    这应该输出类似于:“Represented 1 keypairs in Cavium Key Storage Provider”。

    如果您收到错误消息“n3fips_password is not set”,请确保在您的系统上设置 HSM 的登录凭据,如下面的 [4] 中所述。

    1. 运行以下命令以验证新的密钥容器是否在您的密钥存储提供程序中:
    C:\Program Files\Amazon\CloudHSM>certutil -key -csp "Cavium Key Storage provider"

    “Cavius Key Storage Provider”可能不是您的密钥容器的名称。此名称是从第一步生成的输出中检索的。

    如果容器创建成功,输出应该类似于以下内容:

    Cavium Key Storage provider:
  <key container name>
  RSA


CertUtil: -key command completed successfully.
    1. 创建一个 repair.txt 以便我们可以更新证书存储以使用容器
    [Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=<key container name>&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
    1. 确保 CloudHSM 客户端守护程序仍在运行,并使用certutil verb -repairstore更新证书序列号。该命令看起来类似于以下内容:
    certutil -repairstore my <certificate serial number> repair.txt
    1. 修复证书存储后,请运行以下命令以验证证书已成功与新密钥容器正确关联:
    certutil -store my

    你会期待这样的事情

    ================ Certificate 0 ================
Serial Number: <certificate serial number>
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): 5a...24
  Key Container = CNGRSAPriv-...d
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.

    如果Key Container = CNGRSAPriv-...d显示正确的容器,则您知道证书 KSP 关系良好

    如果您看到Private key is NOT exportable并且Encryption test passed知道您正在使用正确的文件句柄。

    如果您使用 signtool,则需要添加/sm以强制它使用机器存储而不是用户存储,因为上述过程会生成与机器存储绑定的容器。没有选择。

    • 0

相关问题