PKCS11证书

Question

Dot NET 是否支持 HSM 设备的 PKCS11 证书。如果没有，是否有其他支持 pkcs11 证书的第三方实用程序？

Answer 1

对于 PKCS11，您可以使用开源 Pkcs11Interop。它运行良好，并且包含大量带有使用示例的单元测试。

Answer 2

这个库可以满足您的需要：
http://www.ncryptoki.com

Answer 3

不确定“HSM 设备”是什么意思，因此您需要检查您的要求的具体情况。

否则，.NET 确实支持 PKCS9，但在核心 .NET 中没有 PKCS11 的迹象（对于前一个 System.Security.Cryptography.Pkcs 命名空间）。

在核心 .NET 之外，有一些搜索命中（例如 http://msdn.microsoft.com/en-us/library/microsoft.clm.shared.profiletemplates.smartcardprovidertype(VS.85).aspx)。

Answer 4

您可以使用如下语句轻松地从 .net 调用 PKCS11 API：

    [DllImport("cryptoki.dll")]
    static extern ushort C_Initialize(int reserved);

Answer 5

Windows 和 .NET 由于被签署为 Windows 平台，因此有自己的 PKCS#11 替代方案。

在 .NET 本身中，System.Security.Cryptography 具有密钥存储提供程序的概念，在 Windows 中，有 CryptoAPI 及其加密服务提供程序及其较小的子集，称为专为智能卡设计的微型驱动程序。

在这两种情况下，基于相关加密 API 构建的应用程序都可以访问加密设备，例如与其集成的硬件安全模块。

所有供应商都将提供与这些提供商模型中的一个或多个的集成，以便您可以在不使用 PKCS#11 的情况下使用这些设备（如果您对此感兴趣）。

如果您出于某种原因需要使用 PKCS#11，并且在某些情况下可能需要这样做，您应该查看 https ://www.pkcs11interop.net/，因为它为 HSM 供应商提供的本机 PKCS#11 库提供托管包装器。

如果您沿着这条路线走下去，您可以使用 SoftHSM (https://www.opendnssec.org/softhsm/) 如果您手边没有这样的设备，如果您继续使用 Windows 加密 API，您可以使用 Windows 中包含的虚拟智能卡解决方案进行测试，这将完成近似以下类型的合理工作：使用物理 HSM 时会遇到的问题。

Answer 6

我不是 .NET 专家，但根据 Google PKIblackbox 有一个工具包适用于使用 PCKS#11 的 .NET。然后存在一些 PKCS#11-CSP 包装器，允许通过 CryptoAPI 访问 PKCS#11 模块，因为我认为 .NET 世界有很多助手。其中一个包装器是 CSP11