Я понимаю, что в PKI, использующем HSM, пары ключей надежно хранятся в HSM. Приложения, которым требуются возможности шифрования / дешифрования, будут взаимодействовать с HSM через API.
Однако, если я хочу создать смарт-карту для пользователя в качестве агента регистрации, как HSM должен получить закрытый ключ пользователя и вставить его в смарт-карту?
Когда агент подачи заявок создает новый сертификат смарт-карты, новая пара ключей создается и назначается этому пользователю в Active Directory. Обратите внимание, что ключ Агента регистрации нигде не записан - HSM помогает создать совершенно новую (криптографически случайную) пару ключей. Новая пара отправляется с HSM и записывается на смарт-карту.
Если пользователь, зарегистрированный агентом регистрации, уже имеет ключ, он просто получает новый, который будет одинаково хорошо работать при проверке подлинности на основе сертификатов. HSM не должен знать какие-либо существующие закрытые ключи, чтобы создать новый.
Дополнительная информация: Регистрация сертификатов с использованием смарт-карт, Регистрация сертификатов от имени других пользователей, Использование модуля аппаратной безопасности nCipher.
