L'utilizzo di un modulo di sicurezza hardware può migliorare la sicurezza di un'Autorità di certificazione (CA) e di un'infrastruttura a chiave pubblica (PKI).
Un modulo di sicurezza hardware è un dispositivo hardware dedicato gestito separatamente dal sistema operativo. Ha la funzione di archivio hardware sicuro per le chiavi CA e dispone di un processore di crittografia dedicato per accelerare le operazioni di firma e crittografia. Windows utilizza il modulo di sicurezza hardware attraverso le interfacce CryptoAPI: il modulo di sicurezza hardware funge da provider del servizio di crittografia (CSP).
I moduli di sicurezza hardware sono in genere schede PCI, ma sono anche disponibili come dispositivi di rete. Se si intendono implementare due o più CA, è possibile installare un singolo modulo di sicurezza hardware di rete e condividerlo tra più CA.
Per poter configurare una CA utilizzando un modulo di sicurezza hardware, è necessario installare e configurare il modulo prima di configurare qualsiasi CA le cui chiavi saranno archiviate nel modulo.