Conteiners
Esta pantalla permite gestionar los contenedores MS CAP.
El contenedor, dentro del concepto definido por Microsoft para la norma MS CAPI(Microsoft Cryptography API), es el lugar (físico o virtual) donde se encuentran las claves privadas. Cada contenedor puede tener una o dos claves privadas RSA especializadas; en el caso de dos claves, una es para la firma y la otra para el secreto (normalmente criptografía de clave simétrica).
En el cuadro figuran los contenedores reconocidos por el proveedor MSCAPI de HSM.
Contenedores
La interfaz permite crear, editar y eliminar contenedores. Para añadir o eliminar contenedores, utilice el botón Añadir
e Borrar
. El nombre de la clave RSA de cada contenedor debe seleccionarse en la lista que se abre haciendo clic en los campos Clave de firma e Clave de cifrado en la línea correspondiente al nombre del contenedor.
Para crear un nuevo contenedor, elija el nombre y, a continuación, elija las claves de firma y cifrado que formarán parte del contenedor. Al hacer clic en la columna de claves se mostrará una lista de las claves RSA disponibles para el usuario. La conexión con el HSM debe funcionar correctamente para poder utilizar estas opciones.
Los contenedores pueden crearse sin llaves, con una llave o con dos llaves.
Para editar un contenedor existente, basta con hacer clic sobre él y se activa el modo de edición. Pulsando F2 se inicia la edición del nombre del contenedor seleccionado. Finalizar con Entre en
(guarda los cambios) o Esc (descarta los cambios).
Dinamo Físicamente, el contenedor CSP del proveedor CAPI de MS es una entrada en el directorio Contenedores del archivo de configuración CSP. Cada contenedor se identifica en una línea con dos entradas de nombre de clave, separadas por ;
. Cada clave tiene el formato <id usuario>/<id chave>
o simplemente <id chave>
. Tenga en cuenta que la cadena <id usuario>/<id chave>
debe tener una longitud máxima de 32 caracteres.
Asociación de Certificados
Para utilizar un certificado en Windows, es necesario asociar un contenedor a un certificado, que se crea automáticamente al entrar en la tabla de certificados. Ya no es necesario que el usuario cree y asocie manualmente los contenedores. Esta relación entre el certificado y la clave en el HSM se mantiene en la propia base de certificados del sistema operativo, lo que permite a las API de Windows utilizar la clave privada relacionada con el certificado sin necesidad de conocer detalles de la clave o del proveedor criptográfico (CSP) que posee la clave privada correspondiente a ese certificado.
Los contenedores creados manualmente pueden tener las dos ranuras de identificación de clave privada RSA rellenadas como:
- Diferentes claves de firma y secreto
- Claves de firma y secreto iguales
- Sólo clave de firma(ranura de secreto vacía)
- Sólo clave secreta(ranura de firma vacía)
- Sin llave (las dos ranuras están vacías)
En el proceso de asociación de una clave privada a un certificado, Windows define una propiedad(flag) para el uso de la clave, que puede ser un sigilo o una firma.
Durante la asociación con un contenedor creado manualmente por el usuario, la consola establece la propiedad de firma o secreto en función de las ranuras del contenedor elegido:
- Si la misma clave está en ambas ranuras, se establece en secreto
- Si la clave correspondiente sólo está en una de las ranuras, configúrela en consecuencia (secreto o firma).
Para promover la asociación manualmente es necesario utilizar la Crypto API, pero para crear los contenedores y asociarlos automáticamente basta con ir a la tabla Certificados en la opción Certificados de HSM en la pantalla de inicio.