如何在 PHP 中与 PKCS#11 兼容的 HSM 设备交互

Question

如何在 Linux 服务器上运行的 PHP 应用程序中使用来自 PKCS#11 兼容 HSM（例如 SafeNet iKey 2032 [USB] 或 Aladdin eToken PRO [USB]）的密钥材料？

Answer 1

我还没有看到，粗略搜索也没有找到 PHP 的 PCKS#11 粘合库。可能不是您正在寻找的答案。 （：如果您的搜索能力比我更好，请更新此线程。

我认为您最好的选择是编写一个调用 PKCS#11 并访问 HSM 的 C 程序，并从您的 PHP 应用程序中将其作为外部二进制文件调用。即使针对 PHP 出现了 PKCS#11 包装器，这种方法也将为您提供可用于 C 代码的完整 API，而不必使用包装器作者满足其自身需求所需的任何内容。 API 和包装器实现通常不完整。

Answer 2

您需要查看 OpenSC 项目中的 pkcs11-helper 。如果您尝试直接从 PHP 访问 PKCS#11 模块，这将是一个困难的方法。

Answer 3

您应该使用 php-pkcs11，它允许将您的私钥保存到基于 Oasis 组织的 PKCS11 标准的 HSM（硬件保管库）中。请参阅：https://github.com/gamringer/php-pkcs11

您的 HSM 可以是USB 记忆棒、TPM 或智能卡。

Answer 4

我假设您正在询问用户使用其令牌生成签名的情况。签名是在客户端（即浏览器）生成的。事实上你的解决方案是在 linux/php 上并不重要。

您必须添加一个称为签名者的软件组件，它将读取证书并生成签名。

现有的开源签名器都是用 Java 编写的，因为 Java 小程序仍然是最可用的客户端技术。