Cryptography 如何在Windows中使用MSCAPI扩展HSM（Linux）的功能？

我是HSM的新手

我想在Linux环境中使用MSCAPI从HSM访问加密功能

我的客户要求HSM应该可以使用MSCAPI访问

因此，我对如何使用MSCAPI在Windows中扩展HSM（在Linux中运行的HSM）特性感到非常困惑

请帮忙

问候,，

---

Virudhai Paul

有人购买PCIe HSM的原因是您无法从安装PCIe HSM的平台外访问它。这称为“脱机”，是“脱机根证书颁发机构”使用的首选操作情况。您不希望有人能够访问它，除非他们登录到该计算机

与“离线”相反的是“在线”访问，这通常是由HSM供应商提供的，通过销售带有两件东西的设备：

pciehsm

位于套接字上的服务器守护进程，将传入流量传递给HSM，并返回结果

如果您需要从任何其他系统访问PCIe HSM，而不管它运行的是什么操作系统，则需要在HSM的主机上运行一台服务器

没有服务器？无法进入

您当然可以以某种方式实现服务器，这样服务器将提供必要的访问。但我不会——如果你不知道自己在做什么，你可以打开安全漏洞，让你的HSM访问受到威胁

滚动您自己的服务器的风险和责任是为什么HSM供应商对该设备收取如此高的费用（即，对于您在硬件中获得的设备，该设备相对于PCIe卡的溢价似乎非常非常高），因为实际成本涵盖了服务器守护进程的风险和责任方面

---

因此，访问的第一步是：供应商是否提供服务器应用程序，使PCIe HSM对网络的其余部分可见。

我不清楚您在问什么。CAPI/CSP/CNG是特定于Windows的API；它们不是由Linux提供的，所以这是一个非初学者。也不确定“在Linux中运行的HSM”是什么意思。Linux是一个软件系统，HSM是一个硬件系统，名字就是“硬件安全模块”。而且，他们通常不运行Linux，而是运行一些嵌入式操作系统。如果最终用户坚持使用CAPI/CSP/CNG，那么您必须在Windows中运行。或者你的意思是你正在使用Linux操作系统，你想访问HSM，你是如何做到这一点的（即，你只熟悉Windows CAPI API）？Hi@rip。。。谢谢你的解释。1） 我不熟悉CAPIAPI。2） 我们的HSM PCIe卡配置了CentOS 7。我们没有使用嵌入式操作系统。3） 对。我的意思是我使用的是Linux操作系统，我想使用MSCAPI访问Windows中的HSM功能，所以我的结论是：我们不能在Windows中使用MSCAPI访问HSM功能（在Linux平台上运行）。请纠正我的错误。谢谢，您在CentOs设备中有一个PCIe HSM（带有一些操作系统）。您希望从/third/系统（使用WIndows的系统）访问HSM。这和你的想法一致吗？如果是这样，我会回答这个问题。再次感谢@rip。。。对我在CentOs设备中有一个PCIe HSM。我想从使用WIndows的/third/系统访问HSM。非常感谢您的澄清。