A utilização de um módulo de segurança de hardware (HSM) pode aprimorar a segurança de uma autoridade de certificação e da infraestrutura de chave pública (PKI).
Um HSM é um dispositivo de hardware dedicado gerenciado separadamente do sistema operacional. Esses módulos fornecem um repositório de hardware seguro para chaves da autoridade de certificação, assim como um processador criptográfico dedicado para acelerar as operações de assinatura e criptografia. O Windows usa o HSM por meio de interfaces CryptoAPI: as funções do HSM como um dispositivo CSP (provedor de serviços criptográficos).
Os HSMs normalmente são adaptadores de PCI, mas também estão disponíveis em dispositivos da rede. Se uma organização planeja implementar duas ou mais autoridades de certificação, você pode instalar um único HSM baseado em rede e compartilhá-lo entre as várias autoridades.
Para configurar uma autoridade de certificação usando um HSM, ele deve ser instalado e configurado antes da configuração de qualquer autoridade de certificação cujas chaves estejam armazenadas no HSM.