Como antes, planeamos hacer lo siguiente:
¿Importa si no he agregado el atributo de uso de clave durante la generación de CSR en el HSM ya que no puedo encontrar la forma de agregar el uso de clave con el software de cliente de HSM?
Saludos
Cada herramienta debe usarse para lo que hace mejor. El HSM es excelente para proteger una clave privada, ya que permite utilizarla sin perder el módulo de hardware.
Pero IMHO, la generación y validación de CSR se debe hacer antes de enviar un CSR validado al HSM solo para su firma.
Por lo general, es responsabilidad de la CA firmar solo las extensiones que aprueban (generalmente se describen en su CPS) y puede agregar extensiones según el tipo de certificado. Me gustaría consultar con la CA.
Para la mayoría de las CA, descartarán las extensiones que suministre y solo agregarán las que incluyen desde su propio tipo de plantilla / certificado. Como ejemplo, puede tener la extensión CA: TRUE en su CSR, pero ninguna CA simplemente firmará sin eliminar primero ese valor. Por otro lado, si solicita específicamente un certificado de no rechazo, la CA debe agregarlo por usted incluso si no está en la CSR, ya que el certificado resultante no funcionará como lo requiere sin él.
Lea otras preguntas en las etiquetas public-key-infrastructure certificate-authority key csr