De beveiliging van een certificeringsinstantie (CA) en openbare-sleutelinfrastructuur (PKI) kan worden verbeterd met een HSM (Hardware Security Module).
Een HSM is een specifiek apparaat dat los van het besturingssysteem wordt beheerd. Deze apparaten bieden een beveiligd hardwarearchief voor CA-sleutels en een specifieke cryptografieprocessor om bewerkingen voor ondertekening en versleuteling te versnellen. Windows gebruikt de HSM via de CryptoAPI-interfaces. De HSM fungeert daarbij als een cryptografieprovider (CSP).
HSM's zijn meestal PCI-adapters, maar zijn ook beschikbaar als netwerkapparaten. Als een organisatie van plan is twee of meer CA's te implementeren, kunt u één netwerk-HSM installeren en deze laten delen door meerdere CA's.
Als u een CA wilt instellen met een HSM, moet de HSM worden geïnstalleerd en geconfigureerd voordat u CA's instelt waarvan sleutels worden opgeslagen op de HSM.