Comment s'interfacer avec un périphérique HSM compatible PKCS # 11 en PHP

Question

Comment utiliser les clés d'un HSM compatible PKCS # 11 (par exemple un SafeNet iKey 2032 [USB] ou un Aladdin eToken PRO [USB]) dans une application PHP fonctionnant sur un serveur Linux?

Answer 1

Je suppose que vous posez des questions sur les utilisateurs qui utilisent leurs jetons pour générer des signatures. les signatures sont générées du côté client, c'est-à-dire dans le navigateur. le fait que votre solution soit sur linux/php n'a pas d'importance.

Vous devez ajouter un composant logiciel appelé un signataire, qui va lire le certificat et générer la signature.

Les signataires Open Source existants sont écrits en Java, la raison pour laquelle un applet Java est toujours la technologie côté client la plus disponible.

Answer 2

Je n'ai pas vu, et une recherche rapide n'a pas trouvé, une bibliothèque de colle PCKS # 11 pour PHP. Probablement pas la réponse que vous cherchez. (: Si vous avez une meilleure recherche que moi, mettez à jour ce thread

Je pense que votre meilleur pari serait d'écrire un programme C qui appelle PKCS # 11 et accède au HSM, et appelle cela à partir de votre application PHP comme Un binaire externe Même si un wrapper PKCS # 11 émerge pour PHP, cette approche vous donnera l'API complète disponible pour le code C plutôt que d'avoir à faire avec ce que l'auteur de l'encapsuleur a besoin pour satisfaire ses propres exigences. 11 est une API de grande taille, et les implémentations de wrapper sont souvent incomplètes

Answer 3

Vous aurez besoin de regarder le projet OpenSC pkcs11-helper. Ce sera difficile si vous essayez d'accéder au module PKCS # 11 directement depuis PHP