使用PKCS11 api,我能够生成对称密钥(DES3),但现在我需要将这些密钥重定向到jcecsp,用于仅使用nCipher JCE提供程序访问HSM的应用程序。我意识到jcecsp不在--retarget命令的可识别应用程序列表中。
所以我的问题是:有没有办法添加jcecsp作为Generatekey--retarget命令的支持应用程序?或者这在nShieldHSM中根本不可能?
我得到了这个错误输出:
$ generatekey --retarget jcecsp
ERROR: sorry, application jcecsp is not currently usable
jcecsp有点奇怪,因为操作需要通过Java的KeyStoreAPI。您可以使用Javakeytools的-entkeystore选项,将SunPKCS11作为源,将nCipher. sworld作为目标。如果这有效,您将有效地重新定位密钥。Java层通过keystore文件工作,确保当JCE尝试访问它时可以再次找到密钥。
你会有很多选择… SunPKCS11文档在这里https://docs.oracle.com/javase/8/docs/technotes/guides/security/p11guide.html查看泰雷兹文档,了解nCipherKM方面的信息。
