Digamos que tengo una aplicación que requiere certificados (HTTPS, MQTTs, etc.) debido al uso de TLS. Estoy planeando construir mi propia jerarquía PKI de nivel 1 con los certificados de dispositivo de firma de mi propia empresa CA. Uno de nuestros productos tiene un TPM disponible en el que podría crear un par de llaves RSA de 2K. Mi pregunta aquí es si puedo firmar la clave pública del par de llaves que se generó dentro del TPM.
En mi opinión, esto debería funcionar de la siguiente manera:
- generar el par de llaves en el TPM
- exportar la clave pública del par de llaves fuera del TPM
- generar una CSR que incluya la clave pública generada por el TPM
- tengo la CSR firmada por mi CA y almacena el certificado en el dispositivo (no es necesario que esté en el TPM)
Mi biblioteca criptográfica ahora debe configurarse en consecuencia para usar el TPM siempre que se requieran operaciones de clave privada.