Как я могу включить доступ к ключу в HSM при подписании как sha256?
Когда я подписываюсь как sha1, инструмент подписи правильно извлекает ключ сертификата из HSM, но если я перехожу на «/fd sha256», ключ не может быть найден в контейнере. Я уверен, что signtool может получить доступ к контейнеру, но какая-то политика должна блокировать это в случае с sha256.
Моя ошибка:
Ошибка SignTool: указанный контейнер закрытого ключа не найден.
Команда Sha256:
signtool.exe sign /f mycert.crt
/csp "Luna Cryptographic Services for Microsoft Windows"
/kc mycontainer /tr http://timestamp.digicert.com /td sha256
/fd sha256 signed-file.exe
Команда Sha256, которая работает:
signtool.exe sign /f mycert.crt
/csp "Luna Cryptographic Services for Microsoft Windows"
/kc mycontainer /tr http://timestamp.digicert.com /td sha256
/fd sha1 signed-file.exe
Параметры /debug и /v не содержат дополнительной информации.
Если я использую makecert для создания нового самозаверяющего сертификата, команда создает контейнер, который CSP может использовать для sha1 или sha256. Инструмент Luna CSP\keymap.exe позволяет мне управлять контейнерами и ключами. Я могу создать новые для подписи или обмена, а затем связать с ними ключи.
Создайте сертификат и загрузите kes в HSM
# Create Cert and store keys on HSM in a container called "noi1-501706key"
makecert -sk noi1-501706key -sp "Luna Cryptographic Services for Microsoft Windows" -r
-n "CN=noi1- 501706" -ss TestStore noi1-501706.cer
# make self signed
Cert2Spc noi1-501706.cer noi1-501706.spc
Используйте Program Files\Safenet\Luna Client\CSP\keymap
- создать новый контейнер
связать pub/private с новым контейнером
с использованием нового контейнера sha1 работает, а sha256 не работает. Все попытки просмотреть два контейнера показывают их как идентичные.