[devel] pkcs11 e JAVA

ciao a tutti !
vorrei utilizzare una token USB con java keytool
in particolar modo generare un certificato, esportare una richiesta di firma
da una CA, e poi importare il certificato firmato di nuovo sulla chiavetta.

ecco il mio procedimeno

1) genero chiave e certificato direttamente sulla token, utlizzando java
keytool che usa la libreria pkcs11 fornita col token "libreria.dll"
"keytool -genkey -alias prova -keystore NONE -storetype PKCS11 -keyalg
"RSA" -validity 365"
mi genera correttamente chiave e certificato. Per la mia applicazione cio'
e' perfetto.
infatti il mio programma funziona correttamente con questa chiave generata.
riesce a vederla e operare.

2) A questo punto pero' non mi resta che far firmare il certificato a una
CA.
Pertanto esporto la richiesta di certificazione dal token, cosi:
"keytool -certreq -alias prova -keystore NONE -storetype PKCS11 -file
certreq.csr"

Io faccio firmare il file certreq.csr dalla CA, che mi restituisce cert.cer
correttamente firmato.

3) a questo punto provo a aggiornare il certificato sul token.
provo con keytool
"keytool -import -alias prova -keystore NONE -storetype PKCS11 -file
cert.cer "
ma da' il seguente errore "impossibile stabilire la catena dalla risposta"

Immagino quindi che sia necessario importare prima il certificato relativo
alla CA che ha firmato (ca_cert.cer)
"keytool -import -alias root -keystore NONE -storetype
PKCS11 -trustcacerts -file  ca_root.cer"

ma da' il seguente errore " trusted certificates may only be set by token
initialization application"
che mi sa sia proprio un errore della libreria dll, e non un errore
dell'interfaccia.

Ho provato a importare il certificato ca_cert.cer direttamente da
applicativo proprietario che importa correttamente il certificato sul token.
Il problema è che da java keytool non è visibile... e quindi sono fermo qua,

ho provato con varie token che utlitzzano libreria pkcs11 diversa e ottengo
la stessa cosa.
sapete dirmi qualcosa ?


saluti.
Lapo