Ir al contenido

Conteiners

Esta pantalla permite gestionar los contenedores MS CAP.

El contenedor, dentro del concepto definido por Microsoft para la norma MS CAPI(Microsoft Cryptography API), es el lugar (físico o virtual) donde se encuentran las claves privadas. Cada contenedor puede tener una o dos claves privadas RSA especializadas; en el caso de dos claves, una es para la firma y la otra para el secreto (normalmente criptografía de clave simétrica).

En el cuadro figuran los contenedores reconocidos por el proveedor MSCAPI de HSM.

Contenedores Contenedores

Contenedores

Contenedores

La interfaz le permite crear, editar y eliminar contenedores. Para añadir o eliminar contenedores, utilice los botones Añadir y Eliminar. El nombre de la clave RSA de cada contenedor debe seleccionarse en la lista que se abre haciendo clic en los campos Clave de firma y Clave de cifrado de la línea correspondiente al nombre del contenedor.

Para crear un nuevo contenedor, elija el nombre y, a continuación, elija las claves de firma y cifrado que formarán parte del contenedor. Al hacer clic en la columna de claves se mostrará una lista de las claves RSA disponibles para el usuario. La conexión con el HSM debe funcionar correctamente para poder utilizar estas opciones.

Los contenedores pueden crearse sin llaves, con una llave o con dos llaves.

Para editar un contenedor existente, basta con hacer clic sobre él para que se active el modo de edición. Pulse F2 para empezar a editar el nombre del contenedor seleccionado. Finalice con Intro (guarda los cambios) o Esc (descarta los cambios).

Fisicamente o container da CSP do Provider MS CAPI Dinamo é uma entrada na seção Containers do arquivo de configuração da CSP. Cada container é identificado numa linha com duas entradas de nome de chave, separados por ;. Cada chave tem o formato <id usuario>/<id chave> ou apenas <id chave>. Notar que a string <id usuario>/<id chave> deve ter um tamanho máximo de 32 caracteres.

Asociación de Certificados

Para utilizar un certificado en Windows, es necesario asociar un contenedor a un certificado, que se crea automáticamente al entrar en la tabla de certificados. Ya no es necesario que el usuario cree y asocie manualmente los contenedores. Esta relación entre el certificado y la clave en el HSM se mantiene en la propia base de certificados del sistema operativo, lo que permite a las API de Windows utilizar la clave privada relacionada con el certificado sin necesidad de conocer detalles de la clave o del proveedor criptográfico (CSP) que posee la clave privada correspondiente a ese certificado.

Los contenedores creados manualmente pueden tener las dos ranuras de identificación de clave privada RSA rellenadas como:

  1. Diferentes claves de firma y secreto
  2. Claves de firma y secreto iguales
  3. Sólo clave de firma(ranura de secreto vacía)
  4. Sólo clave secreta(ranura de firma vacía)
  5. Sin llave (las dos ranuras están vacías)

En el proceso de asociación de una clave privada a un certificado, Windows define una propiedad(flag) para el uso de la clave, que puede ser un sigilo o una firma.

Durante la asociación con un contenedor creado manualmente por el usuario, la consola establece la propiedad de firma o secreto en función de las ranuras del contenedor elegido:

  1. Si la misma clave está en ambas ranuras, se establece en secreto
  2. Si la clave correspondiente sólo está en una de las ranuras, configúrela en consecuencia (secreto o firma).

Para promover la asociación manualmente es necesario utilizar la Crypto API, pero para crear los contenedores y asociarlos automáticamente basta con ir a la tabla Certificados en la opción Certificados de HSM en la pantalla de inicio.

Tabla de certificados Tabla de certificados

Tabla de certificados