使用Luna Network HSM生成CSR和密钥的教程

Luna Network HSM是一种基于云的硬件安全模块 (HSM)，它将数字资产保护提升到新的高度。HSM 是配备加密处理器的专用硬件设备，专门用于管理数字密钥和执行安全加密操作。那么如何使用使用Luna Network HSM生成CSR和密钥证明来申请SSL证书或代码签名证书呢？

密钥证明可确保加密密钥的合法性并防止篡改。在这个关键领域，Luna Network HSM擅长生成强大的密钥证明，作为密钥完整性和安全性的无可辩驳的证明。Luna HSM密钥证明功能的核心是公钥确认包 (PKC)。为了验证安全存储在其中的特定密钥对，Luna HSM只需生成PKC文件。使用Luna Network HSM生成CSR和密钥的教程如下：

第1步，启动Luna远程客户端并登录

要开始此过程，请启动Luna远程客户端来访问Luna HSM。登录后，您可以进入将进行加密操作的安全环境。

第2步，生成RSA密钥对

使用 LunaCM2 实用程序在指定的Luna分区上创建RSA密钥对。根据您的操作系统，执行适当的命令。

对于Windows，导航到LunaClient目录并使用以下命令：

c:\ cd c:\Program Files\SafeNet\LunaClient

c:\Program Files\SafeNet\LunaClient\> lunacm

对于Linux用户，进入bin目录并执行以下命令：

>cd /usr/safenet/lunaclient/bin

./lunacm

现在，使用“cmu gen”命令生成 RSA 密钥对。确保将“LABEL”替换为适合您的密钥对的标识符。

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=LABEL -extractable=false

需要注意的是，参数“-extractable=false”和“-sign=T”对于成功生成CSR是必需的。这些设置可确保Luna HSM不会使用此密钥来签署CSR。此外，对于代码签名证书，RSA密钥大小必须至少为3072位。

第3步，检索钥匙的句柄编号

接下来，通过执行以下命令检索公钥和私钥的句柄号：

cmu list -class public -label=LABEL

cmu list -class private -label=LABEL

这些句柄编号对于流程中的后续步骤至关重要。

第4步，生成CSR

有了手头的句柄号，就可以使用“ cmu requestcert ”命令生成CSR 。

通过将“ MNO ”和“ BCD ”替换为相应的公钥和私钥句柄来自定义命令。设置其他相关参数，例如 CSR 的国家/地区 (C)、地点 (L)、组织 (O)、通用名称 (CN) 和输出文件名。例如，

cmu requestcert -publichandle=MNO -privatehandle=BCD -C=CA -L=Ottawa -O=Sectigo -CN=”PKC 测试证书” -outputFile=rsacsr.pem

第5步，生成PKC

下一步涉及生成 PKC 以验证密钥对的真实性。使用“ cmu getpkc ”命令。并且，将“ MNO ”替换为公钥句柄。对于“ attestation.p7b ”，将其替换为所需的文件名。

cmu getpkc -handle=MNO -outputfile=attestation.p7b -pkctype=2 -verify

第6步，将PKC文件编码为Base64格式

为了保证与其他系统的兼容性和顺畅通信，证明PKC文件需要采用base64格式编码。根据您的操作系统，应使用以下命令：

对于 Windows：

certutil -编码 attestation.p7b attestation.b64

findstr /v 证书 attestation.b64 > attestation.b64

对于Linux：

Base64 证明.p7b > 证明.b64

第7步，提交CSR和编码证明

准备好CSR和base64编码的证明后，将它们提交到CA机构密钥证明服务或经销商网站注册表。