Как взаимодействовать с устройством HSM, совместимым с PKCS # 11, в PHP

Question

Как использовать материал ключа из HSM, совместимого с PKCS # 11 (например, SafeNet iKey 2032 [USB] или Aladdin eToken PRO [USB]) в приложении PHP, работающем на сервере Linux?

Answer 1

Я не видел, и беглый поиск не нашел, библиотека склеивания PCKS # 11 для PHP.Вероятно, не тот ответ, который вы ищете.(: Если у вас поиск лучше, чем у меня, обновите эту ветку.

Я думаю, что вам лучше всего написать программу на C, которая вызывает PKCS # 11 и обращается к HSM, и вызывать ее из вашего PHPapp как внешний двоичный файл. Даже если для PHP появится оболочка PKCS # 11, этот подход предоставит вам полный API-интерфейс, доступный для кода C, вместо того, чтобы обходиться без того, что нужно автору оболочки для удовлетворения их собственных требований.PKCS # 11 - это большой API, и реализации оболочки часто бывают неполными.

Answer 2

Вам нужно взглянуть на pkcs11-helper из проекта OpenSC.Это будет трудный путь, если вы попытаетесь получить доступ к модулю PKCS # 11 напрямую из PHP.

Answer 3

Я предполагаю, что вы спрашиваете о пользователях, использующих свои токены для генерации подписей. подписи генерируются на стороне клиента, то есть в браузере. тот факт, что ваше решение для Linux / PHP не имеет значения.

Вы должны добавить программный компонент, называемый подписывающим, который будет читать сертификат и генерировать подпись.

существующие подписывающие лица с открытым исходным кодом написаны на java, поэтому java-апплет по-прежнему является наиболее доступной технологией на стороне клиента.