我可以将我的私钥移动到更好的令牌吗?

信息安全 证书 公钥基础设施 令牌
2021-09-01 21:31:40

我最近从 GlobalSign 购买了个人签名证书——它也不便宜。

它昨天到了。GlobalSign 给了我一个“空白”的 USB 安全令牌设备 - SafeNet eToken 5100不幸的是,用户体验很糟糕。它需要自己的特殊驱动程序,而不是使用 Microsoft 自己的标准 USB 安全令牌驱动程序或模拟智能卡设备。用户界面设计得很糟糕,并被徽标覆盖。直接从 SafeNet / Gemalto 获取驱动程序也是不可能的,它们由 CA(在本例中为 GlobalSign)分发。我遇到了驱动程序的后台服务拒绝启动的问题,我的 Windows 登录屏幕现在有 6 个额外的按钮用于复制令牌设备,即使没有插入 USB 令牌也是如此。

GlobalSign 还需要在 Windows(甚至 Edge)上使用 Internet Explorer 来配置 USB 令牌,因为它使用 Windows 证书配置 ActiveX 控件 - 如果您在 Linux 或 Mac 上,您就是 SOL,但至少在令牌之后配置后,您可以将令牌与 Mac 一起使用。这个配置过程就是将我的私钥和 CA 颁发的证书放在令牌上。

我想从令牌中提取我的信息并将其移动到实现更好的设备上,例如另一个不需要特殊驱动程序的 USB 令牌,类似于我使用旧雇主的基于智能卡的 PKI 的经验)。

我有什么选择?

2个回答

一旦您在 USB 加密狗中部署了私钥,就无法提取它。这是使用 USB 加密狗的主要原因,以确保密钥始终受到硬件保护。

唯一的选择是生成一个新的私钥并请求一个新的证书

GlobalSign 支持将您的证书安装在使用 Microsoft Base Smartcard Crypto Provider* 代替 Safenet 令牌的令牌或智能卡上。

* https://support.globalsign.com/customer/portal/articles/1999625(在先决条件和安装的第 5 步中提到)

其它你可能感兴趣的问题
上一篇文件签名服务是否违反了任何规则,通过透明电子邮件公开 PII? 下一篇这是动态设置 X-Frame-Options 的安全方法吗?(多个域)