使用硬件安全模块 (HSM) 可以增强证书颁发机构 (CA) 和公钥基础结构 (PKI) 的安全性。

HSM 是和操作系统分开管理的专用硬件设备。这些模块为 CA 密钥提供安全的硬件存储,并提供可加快签名和加密操作的专用加密处理器。Windows 通过 CryptoAPI 接口利用 HSM,即将 HSM 用作加密服务提供程序 (CSP) 设备。

HSM 通常是 PCI 适配器,但也可以作为基于网络的设备。如果组织计划实施两个或多个 CA,则可以安装一个基于网络的 HSM 并让多个 CA 共享。

为了使用 HSM 安装 CA,必须在安装其密钥将存储在 HSM 上的任何 CA 之前,先安装和配置 HSM。


目录