¿Alguien conoce a una compañía de CA que me permita colocar el certificado de CA comprado dentro de SoftHSM (lo mismo que un HSM pero sin ningún hardware, es solo software)?
¿Es difícil trabajar con la interfaz PKCS11? Tengo una aplicación Java que firmará documentos. Pero necesito comunicarme a través de la interfaz PKCS11. ¿Alguien ha tenido alguna experiencia con eso antes? ¿Hay algún tutorial sobre esto?
No, dudo que cualquier compañía seria de CA pueda permitirle operar una clave CA fuera de un HSM real. Además, es más que probable que completar una auditoría exitosa de terceros de su PKI, desde un punto de vista técnico y operativo, también sea un requisito obligatorio.
Oracle proporciona un proveedor criptográfico PKCS # 11 para la API criptográfica de Java. Sin embargo, nunca usé este proveedor para propósitos serios. Puede encontrar la documentación oficial aquí . Este proveedor es parte de la distribución estándar de Java.
Tenga en cuenta que algunos proveedores de HSM también pueden enviar una API de Java dedicada con su HSM que se adapte mejor a las características de sus productos que la API PKCS # 11. Sé que Thales nCipher HSM tiene esa biblioteca.
Lea otras preguntas en las etiquetas cryptography encryption certificate-authority hsm