问题标签 [yubihsm]

我正在尝试使用 PIV 为我的 Windows 应用程序（UWP Xamarin C# .NET）实现 YubiKey HSM。我找到了几种与 YubiKey FIPS 通信的方法，但效果不佳。正如 Yubico 网站中所建议的那样，我尝试使用 PKCS11 和 Pkcs11Interop nuget 包。

https://developers.yubico.com/yubico-piv-tool/YKCS11/

我尝试了 Pkcs11Interop GitHub ( https://github.com/Pkcs11Interop/Pkcs11Interop/blob/master/doc/GETTING_STARTED.md ) 中给出的示例。

但是当我尝试运行时，它会抛出“方法 C_GetSlotList 返回 CKR_DEVICE_ERROR”这个错误。

请帮我解决这个问题或为我提供一个库/代码示例，这可能对我的实现有所帮助。

提前致谢。

我的应用程序想要使用YubiKey和PIV ( PKCS11 ) 签署文件。我能够登录到我的 YubiKey，但是当我尝试生成 KeyPairs 时，它会引发此错误。

“方法 C_GenerateKeyPair 返回CKR_ATTRIBUTE_VALUE_INVALID ”

这是我现在拥有的代码（C# .NET）

我使用 Win10 进行实验。我想在 yubihsm-shell 和 yubihsm-connector 之间创建 HTTPS 访问。 官方指南不是很详细，但过了一段时间我在https://github.com/Yubico/yubihsm-shell/issues/5找到了一些相关信息

我使用 openssl 并创建了私钥 (privkey.pem)、证书签名请求 (csr.csr) 和证书 (hsm_cert.pem)。证书是自签名的。

我通过以下方式启动了 yubihsm 连接器：

我打开我的网络浏览器并输入 URL：

我得到正确的信息：

接下来我通过以下方式尝试了 yubishell： yubihsm-shell.exe --connector=https://localhost:54321 --cacert=hsm_cert.pem yubihsm> connect Failed setting HTTPS CA

我给 YubiHSM shell 的证书与我开始连接器时使用的自签名证书相同。

证书签名请求是使用以下配置文件创建的：

证书扩展文件如下所示：

我的问题：

1. 如何为 YubiHSM 连接器创建 X509 证书？
2. 我应该如何向 YubiHSM shell 提供证书，以便它可以通过 HTTPS 连接到连接器？

我按照教程使用 YubiHSM 密钥存储提供程序生成代码签名证书，此处提供。在使用新的非对称密钥创建证书签名请求 (CSR) 之后，certreq -new sign.inf sign.req在 YubiHSM 中创建了此密钥与 YubiHSM 密钥存储提供程序 (KSP) 中的证书之间的关联。之后，我可以使用类似signtool sign /sha1 <certificate hash> <binary name>.

但是，当我导出此证书并将其导入另一台机器时，该证书没有关联的私钥。打字certutil -repairstore my <certificate hash>没有帮助。据我了解，KSP 仅存储指向 YubiHSM 的链接，而不是实际的私钥本身。所以我想我需要以某种方式在 KSP 中创建这个关联。