El uso de un módulo de seguridad de hardware (HSM) puede aumentar la seguridad de una entidad de certificación (CA) y de la infraestructura de clave pública (PKI).
Un HSM es un dispositivo de hardware dedicado que se administra independientemente del sistema operativo. Estos módulos proporcionan un almacén de hardware seguro para las claves de CA además de un procesador de cifrado para acelerar las operaciones de firma y cifrado. Windows usa HSM mediante las interfaces CryptoAPI (HSM funciona como un dispositivo proveedor de servicios de cifrado (CSP).
Los HSM suelen ser adaptadores PCI, aunque también están disponibles como dispositivos basados en la red. Si una organización tiene previsto implementar dos o más CA, puede instalar un solo HSM basado en red y compartirlo entre las distintas CA.
Para instalar una CA mediante HSM, éste se debe instalar y configurar para poder instalar las CA cuyas claves se van a almacenar en HSM.