我的应用程序中有一个使用 SSL 的客户端-服务器架构。目前,私钥存储在 CAPI 的密钥存储位置。出于安全原因,我想将密钥存储在一个更安全的地方,最好是为此目的而构建的硬件签名模块 (HSM)。不幸的是,私钥存储在这样的设备上,我无法弄清楚如何在我的应用程序中使用它。
在服务器上,我只是使用SslStream类和AuthenticateAsServer(...)调用。此方法采用一个X509Certificate已加载其私钥的对象,但由于私钥存储在 HSM 上的安全(例如不可导出)位置,我不知道如何执行此操作。
在客户端,我使用一个HttpWebRequest对象,然后使用该ClientCertificates属性添加我的客户端身份验证证书,但我在这里遇到了同样的问题:如何获取私钥?
我知道有一些 HSM 可以充当 SSL 加速器,但我真的不需要加速器。此外,这些产品往往与我没有使用的 Web 服务器(例如 IIS 和 Apache)进行特殊集成。
有任何想法吗?我唯一能想到的就是编写自己的 SSL 库,这样我就可以将交易的签名部分交给 HSM,但这似乎是一项巨大的工作。