Windows Vista / 7是否提供某种通用实用程序和工具来在智能卡上生成不可导出的RSA / DSA密钥并从智能卡上签名CSR?
任何提示/技巧/指针赞赏。
PS我知道OpenCS / OpenCT提供的PKCS15
通常用于loginWindows的智能卡由Active Directory证书服务处理。 Windows Serverangular色处理创build,发行和PKI基础设施来pipe理智能卡。
但我不确定纯粹基于客户端的解决scheme。
大多数智能卡都有一个PKCS#11接口。 GnuTLS工具集合可以通过PKCS#11访问智能卡。 项目主页上有一个GnuTLS的Windows版本。 GnuTLS文档中有一个简短的示例部分
你还需要的是你的智能卡的PKCS#11驱动程序,你可能会在卡的制造商的主页上find它。 您可以使用--provider="C:\path\to\pkcs11-dll\my_p11_driver.dll"选项将GnuTLS指向驱动程序。
某些智能卡可能会有一个选项来导入自制密钥,并标记这些“不可导出”。 其他人预先安装了Keys,默认情况下是“不可导出”的。 您可以使用GnuTLS的certtool为此密钥创build证书(或证书请求)。 无论您想要信任预先安装的关键材料,您都可以进行讨论。 但制造商通常宣称关键材料是在专门的硬件设备的安全环境中创build的,没有任何外部连接。