问PKCS11，对象PIN

EN

在PKCS#11中，所有对象都使用用户PIN进行保护。他们没有自己的PIN。因此，没有标准的方法为特定的对象请求不同的PIN。

PKCS#11的思想是有一个密码(PIN)来保护整个令牌。对位于同一令牌上的密钥的二次身份验证已完全排除在协议之外。如2.01规范所述：

使用由二级身份验证保护的私钥使用相同的进程和调用序列，就像使用仅受登录PIN保护的私钥一样。实际上，为Cryptoki版本2.01编写的应用程序将不加修改地使用二级身份验证。

这意味着：“二级认证不是我们的问题，这些机制必须在我们的协议之外实现”。

但是，当密钥实际上位于相同的令牌这里上时，它们描述了公开几个PIN的技巧。

指向2.11规范的链接：这里

如果将保护.pfx或.pvk文件中私钥的密码称为“次要密码”，则错误。这些密码用于保护那些文件(.pfx或.pvk )中的私钥，而不是HSM。在HSM中没有其他密码来保护密钥。如果您想调用api函数，您必须使用用户或管理PIN登录。