Pkcs11
如何將 CKA_TRUSTED 設置為 true?
我對 PKCS#11 v2.40 規範中關於何時
CKA_TRUSTED可以在公鑰證書對像上設置為 true 的措辭感到困惑:應用程序不能將 CKA_TRUSTED 屬性設置為 CK_TRUE。它必須由令牌初始化應用程序或令牌的 SO 設置。無法修改受信任的證書。
我正在嘗試調和*“應用程序無法將其設置為 CK_TRUE”和“必須設置$$ … $$通過令牌的 SO”* 。這是否意味著 R/W SO 會話可以創建(或更新)設置為的公鑰證書對象(例如
CKC_WTLS)?我覺得這與*“無法設置”不太合適*CKA_TRUSTED``CK_TRUE$$ … $$通過應用程序”。
一般來說,應用程序(使用令牌進行加密操作的程序)應該使用
CKU_USER,而不是CKU_SO。
CKU_SO應該是安全人員使用的。當然,SO 通常可以與令牌通信的唯一方法是通過某種管理應用程序- 有時與身份驗證設備相結合,例如連接到 HSM 的外部 PIN 鍵盤。是的,通常可以自己編寫管理應用程序;當然,最好將其混合到使用儲存在令牌中的密鑰材料的應用程序中(特別是如果您還集成了登錄憑據)。是的,SO 通常可以對證書設置信任。SO 有責任確保他們畢竟可以被信任。
可能存在根本無法設置信任的令牌。例如,智能卡可能有一個特定的 PKCS#11 介面,其中沒有任何管理操作適用。