Чтобы подписать сертификат в OpenSSL, я использую функцию X509_sign()
, подав ее с запросом (как X509_REQ*
), ключ подписи и дайджест.Подписать сертификат в PKCS # 11
Теперь у меня есть ключ подписи, хранящийся в HSM, поэтому я не могу его извлечь, чтобы подписать сертификат. К сожалению, PKCS # 11 не предоставляет эквивалент X509_sign()
. Все это имеет C_Sign()/C_SignUpdate()/C_SignFinal()
семейство функций, которые работают с необработанными данными, а не с сертификатами.
Может ли кто-нибудь помочь мне с образцом кода C/C++, как использовать PKCS # 11 для подписи сертификата, созданного с помощью OpenSSL?
Отличный ответ, Андрей! Точно в точку и делает то, что она должна делать. –