L’utilisation d’un module de sécurité matériel (HSM, Hardware Security Module) peut améliorer la sécurité d’une autorité de certification et d’une infrastructure à clé publique.
Un module HSM est un périphérique matériel dédié géré indépendamment du système d’exploitation. Ces modules fournissent un magasin matériel sécurisé pour stocker les clés d’autorité de certification, ainsi qu’un processeur dédié au chiffrement pour accélérer les opérations de signature et de chiffrement. Windows utilise le module HSM à travers les interfaces CryptoAPI-les fonctions HSM comme périphérique fournisseur de services de chiffrement (CSP).
Les modules HSM sont habituellement des cartes PCI, mais ils sont également disponibles en tant que périphériques réseau. Si une organisation prévoit d’implémenter plus d’une autorité de certification, vous pouvez installer un module HSM réseau unique et le partager parmi toutes les autorités de certification.
Pour configurer une autorité de certification par le biais d’un module HSM, celui-ci doit être installé et configuré avant l’installation de toute autorité de certification dont les clés seront stockées sur le module HSM.