configuring-hsm-for-key-storage
硬件安全模块(HSM)是防篡改的物理设备,在加固环境中保护密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界,提供最高级别的密钥保护。
Best use case
configuring-hsm-for-key-storage is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
硬件安全模块(HSM)是防篡改的物理设备,在加固环境中保护密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界,提供最高级别的密钥保护。
Teams using configuring-hsm-for-key-storage should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/configuring-hsm-for-key-storage/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How configuring-hsm-for-key-storage Compares
| Feature / Agent | configuring-hsm-for-key-storage | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
硬件安全模块(HSM)是防篡改的物理设备,在加固环境中保护密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界,提供最高级别的密钥保护。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 配置 HSM 进行密钥存储
## 概述
硬件安全模块(HSM)是防篡改的物理设备,在加固环境中保护加密密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界,提供最高级别的密钥保护。本技能涵盖使用 PKCS#11 标准接口配置 HSM,包括密钥生成、签名、加密,以及使用物理 HSM 和用于开发的 SoftHSM2 进行密钥管理。
## 目标
- 将 SoftHSM2 配置为开发用 PKCS#11 提供程序
- 通过 PKCS#11 在 HSM 内部生成和管理密钥
- 使用 HSM 驻留密钥执行加密操作(签名、验证、加密、解密)
- 实施 HSM 支持的证书颁发机构操作
- 配置密钥访问策略和用户认证
- 对接云 HSM 服务(AWS CloudHSM、Azure)
## 核心概念
### HSM 合规级别
| FIPS 级别 | 保护方式 | 使用场景 |
|-----------|-----------|----------|
| FIPS 140-2 Level 1 | 仅软件 | 开发 |
| FIPS 140-2 Level 2 | 防篡改证据、基于角色的认证 | 一般生产 |
| FIPS 140-2 Level 3 | 防篡改、基于身份的认证 | 金融、政府 |
| FIPS 140-2 Level 4 | 物理篡改响应 | 军事、机密 |
### PKCS#11 架构
```
应用程序 --> PKCS#11 API --> HSM 提供程序 --> 硬件 HSM
|
(开发用 SoftHSM2)
```
### PKCS#11 中的密钥对象
| 对象类型 | 描述 | 操作 |
|-------------|-------------|-----------|
| CKO_SECRET_KEY | 对称密钥(AES) | 加密、解密、封装 |
| CKO_PUBLIC_KEY | 公钥(RSA、EC) | 验证、加密、封装 |
| CKO_PRIVATE_KEY | 私钥(RSA、EC) | 签名、解密、解封装 |
| CKO_CERTIFICATE | X.509 证书 | 存储、检索 |
## 安全注意事项
- 永远不要从 HSM 中导出私钥(使用 CKA_EXTRACTABLE=False)
- 为不同应用程序使用独立的插槽/分区
- 为 CA 根密钥实施多人密钥仪式
- 为所有 HSM 操作启用审计日志
- 实施 HSM 备份和灾难恢复
- 使用强 PIN 并启用 SO(安全官)PIN
## 验证标准
- [ ] SoftHSM2 使用令牌和用户 PIN 初始化
- [ ] AES 密钥在 HSM 内部生成
- [ ] RSA 密钥对在 HSM 内部生成
- [ ] 加密/解密使用 HSM 驻留密钥
- [ ] 签名/验证使用 HSM 驻留密钥
- [ ] 密钥无法导出(不可提取)
- [ ] 密钥列表显示所有 HSM 存储对象Related Skills
performing-cloud-storage-forensic-acquisition
通过收集 API 远程数据和端点设备本地同步客户端制品,对 Google Drive、OneDrive、Dropbox 和 Box 等云存储服务执行取证获取和分析。
detecting-misconfigured-azure-storage
使用 Azure CLI、PowerShell 和 Microsoft Defender for Storage,检测 Azure 存储账户错误配置,包括可公开访问的 blob 容器、缺失的加密设置、过于宽泛的 SAS 令牌、禁用的日志记录以及网络访问违规。
detecting-azure-storage-account-misconfigurations
使用 azure-mgmt-storage Python SDK 审计 Azure Blob 和 ADLS 存储账户的公开访问暴露、弱或长期 SAS 令牌、缺失的静态加密、禁用的仅 HTTPS 流量以及过时的 TLS 版本。
configuring-zscaler-private-access-for-ztna
配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。
configuring-windows-event-logging-for-detection
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
configuring-windows-defender-advanced-settings
配置 Microsoft Defender for Endpoint(MDE)高级防护设置,包括攻击面缩减规则、受控文件夹访问、 网络保护和漏洞利用防护。适用于在默认 Defender 设置基础上加固 Windows 端点、部署企业级端点防护 或满足高级恶意软件防御合规要求的场景。
configuring-tls-1-3-for-secure-communications
TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。
configuring-suricata-for-network-monitoring
部署和配置 Suricata IDS/IPS,使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则, 进行实时网络流量检测(intrusion detection)、威胁检测,并与 SIEM 平台集成实现集中化安全监控。
configuring-snort-ids-for-intrusion-detection
安装、配置和调优 Snort 3 入侵检测系统(intrusion detection system),使用自定义和社区规则集、 预处理器和告警输出插件,在授权网络分段上监控网络流量中的恶意活动。
configuring-pfsense-firewall-rules
配置 pfSense 防火墙规则、NAT 策略、VPN 隧道和流量整形,以强制实施网络分段(network segmentation)、 控制流量,并保护企业及中小型企业环境中的内部网络区域。
configuring-oauth2-authorization-flow
配置安全的 OAuth 2.0 授权流程,包括带 PKCE 的授权码流、客户端凭据和设备授权授予。本技能涵盖流程选择、PKCE 实施、令牌生命周期管理、范围设计以及符合 OAuth 2.1 安全要求。
configuring-microsegmentation-for-zero-trust
为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。