1
HSM(PKCS11標準API)を使用して自己署名証明書レポート「ラッピングキーハンドル無効」エラー(エラーコード113,)を生成します。これは、GUI ctbrowserツールを使用してデモと同様のコードを生成したり使用したりする場合にも発生します。HSMが自己署名証明書レポート「ラッピングキーハンドル無効」エラー
ここでは、問題を再現するためのコード例を示します。RSAキーペアを生成し、自己署名証明書を生成しようとします。
int main()
{
int rv;
CK_CHAR pwd[] = "password";
static char pubkeyLabel[256]="demoPub";
static char prvkeyLabel[256]="demoPrv";
static CK_BYTE id[256];
static CK_BBOOL isTok = TRUE;
static CK_BBOOL True = TRUE;
static CK_BBOOL False = FALSE;
CK_SESSION_HANDLE hSession;
CK_OBJECT_HANDLE hPubKey;
CK_OBJECT_HANDLE_PTR phPubKey = &hPubKey;
CK_OBJECT_HANDLE hSignerKey;
CK_OBJECT_HANDLE_PTR phSignerKey = &hSignerKey;
CK_OBJECT_HANDLE hCert;
CK_OBJECT_HANDLE_PTR phCert = &hCert;
CK_MECHANISM mechanism = { 0, NULL, 0 };
static CK_SIZE mBits=2048;
static char edate[] = {'2','0','2','0','1','2','3','1'};
static char certLabel[128]="demo_cert";
static char subject[256]="C=XX,ST=XX,L=XX,O=MEOW,OU=HSM,CN=TESTCERT";
CK_ATTRIBUTE publicKeyTemplate[] = {
{CKA_TOKEN, &isTok, 1},
{CKA_PRIVATE, &False, 1},
{CKA_LABEL, pubkeyLabel, sizeof(pubkeyLabel)},
{CKA_SUBJECT_STR, subject, sizeof(subject)},
{CKA_MODULUS_BITS, &mBits, sizeof(mBits)},
{CKA_ENCRYPT, &False, 1},
{CKA_VERIFY, &True, 1},
{CKA_WRAP, &False, 1},
{CKA_DERIVE, &True, 1},
{CKA_EXTRACTABLE, &True, 1},
{CKA_EXPORTABLE, &True, 1}
};
CK_ATTRIBUTE privateKeyTemplate[] = {
{CKA_TOKEN, &isTok, 1},
{CKA_LABEL, prvkeyLabel, sizeof(prvkeyLabel)},
{CKA_PRIVATE, &True, 1},
{CKA_SUBJECT_STR, subject, sizeof(subject)},
{CKA_ID, id, sizeof(id)},
{CKA_SENSITIVE, &True, 1},
{CKA_DECRYPT, &False, 1},
{CKA_SIGN, &True, 1},
{CKA_UNWRAP, &True, 1},
{CKA_WRAP, &False, 1},
{CKA_EXTRACTABLE, &False, 1},
{CKA_EXPORTABLE, &False, 1}
};
CK_ATTRIBUTE certTemplate[] = {
{CKA_TOKEN, &True, 1},
{CKA_PRIVATE, &False, 1},
{CKA_LABEL, certLabel, sizeof(certLabel)},
{CKA_SUBJECT_STR, subject, sizeof(subject)},
{CKA_ISSUER_STR, subject, sizeof(subject)},
{CKA_END_DATE, edate, sizeof(edate)},
{CKA_EXTRACTABLE, &True, 1},
{CKA_EXPORTABLE, &True, 1}
};
printf("Generate cert %s from %s, signed by %s.\n", certLabel, pubkeyLabel, prvkeyLabel);
rv = C_Initialize(NULL_PTR);
if (rv) return rv;
rv = C_OpenSession(0, CKF_RW_SESSION|CKF_SERIAL_SESSION, NULL, NULL, &hSession);
rv = C_Login(hSession, CKU_USER, pwd, 8);
publicKeyTemplate[2].valueLen = (CK_SIZE)strlen((char*)pubkeyLabel);
publicKeyTemplate[3].valueLen = (CK_SIZE)strlen((char*)subject)+1;
privateKeyTemplate[1].valueLen = (CK_SIZE)strlen((char*)prvkeyLabel);
privateKeyTemplate[3].valueLen = (CK_SIZE)strlen((char*)subject)+1;
mechanism.mechanism = CKM_RSA_PKCS_KEY_PAIR_GEN;
rv = C_GenerateKeyPair(hSession, &mechanism,
publicKeyTemplate, NUMITEMS(publicKeyTemplate),
privateKeyTemplate, NUMITEMS(privateKeyTemplate),
phPubKey, phSignerKey);
printf("Keypair generated with rv=%x\n", rv);
mechanism.mechanism = CKM_SHA256_RSA_PKCS;
rv = C_SignInit(hSession, &mechanism, hSignerKey);
printf("cert signer initiated with rv=%x\n", rv);
mechanism.mechanism = CKM_ENCODE_X_509;
certTemplate[2].valueLen = (CK_SIZE)strlen((char*)certLabel);
certTemplate[3].valueLen = (CK_SIZE)strlen((char*)subject)+1;
certTemplate[4].valueLen = (CK_SIZE)strlen((char*)subject)+1;
rv = C_DeriveKey(hSession, &mechanism,
hPubKey,
certTemplate, NUMITEMS(certTemplate),
phCert);
printf("cert generation finished with rv=%x\n", rv);
return 0;
}
プロセス全体にはラッピングが含まれていないため、これをデバッグする方法については何の手掛かりもありません。誰かが何が間違っているのか考えているのですか?
HSMの製造元に問い合わせてサポートを依頼することをお勧めします。 – SEJPM
'CKA_WRAP'と' CKA_UNWRAP'とEXTRACTABLEとEXPORTABLEフラグ(ラッピングキーが必要な場合があります)を含む多くの属性を明示的に設定しています。たぶんそれらの属性を削除してからやり直してください。それが動作すれば、もう一度設定して失敗の原因を調べることができます。 –
@MaartenBodewes 'CKA_WRAP'は' CKA_UNWRAP'属性です。無効にすると、他のキーを書き出すためのラッピングキーとして使用されません。 pubkeyに 'EXTRACTABLE'が必要です。そうでなければ、値にアクセスできません。証明書にエクスポートされるだけではなく(' EXPORTABLE'フラグ)私はより少ない属性の様々な試み、それは動作しませんでした。 – Chong