Предоставляет ли Windows Vista / 7 какие-то универсальные утилиты и средства для создания неэкспортируемого ключа RSA / DSA на смарт-карте и подписания CSR со смарт-карты?
любые подсказки / подсказки / указатели приветствуются.
P.S. Я знаю о PKCS15, предоставляемом OpenSC / OpenCT
Большинство смарт-карт имеют интерфейс PKCS # 11. Коллекция инструментов GnuTLS может получить доступ к смарт-картам через PKCS # 11. На домашней странице проекта есть версия GnuTLS для Windows. В разделе Документация GnuTLS
Вам также понадобится драйвер PKCS # 11 для вашей смарт-карты, который вы, вероятно, найдете на домашней странице производителя карты. Вы можете указать GnuTLS на драйвер, используя --provider="C:\path\to\pkcs11-dll\my_p11_driver.dll" Вариант.
Некоторые смарт-карты могут иметь возможность импортировать самодельные ключи и отмечать их как «не экспортируемые». У других есть предустановленные ключи, которые по умолчанию «не экспортируются». Вы можете создавать сертификаты (или запросы сертификатов) для этих ключей, используя certtool из GnuTLS. Открыто для обсуждения, хотите ли вы доверять ключевому материалу, который поставляется предварительно установленным. Но производители обычно рекламируют, что ключевой материал был создан в безопасной среде из специализированных аппаратных средств без каких-либо внешних подключений.
Обычно смарт-карты для входа в Windows обрабатываются службами сертификации Active Directory. Роль Windows Server обрабатывает создание, выпуск и инфраструктуру PKI для управления смарт-картами.
Однако я не уверен в чисто клиентском решении.