Допустим, я создаю самозаверяющий сертификат в Powershell следующим образом:
New-SelfSignedCertificate -Provider "Microsoft Platform Crypto Provider" -Subject "CN=foobar" -KeyExportPolicy NonExportable -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter $((Get-Date).AddYears(10))
Сертификат предполагается использовать для подписи кода сценариев PowerShell.
Поскольку поставщиком является MS platform crypto provider
, ключи будут генерироваться микросхемой доверенного платформенного модуля (TPM), встроенной в мою материнскую плату.
Таким образом, закрытый ключ теперь хранится в «черном ящике» TPM. Так есть ли необходимость обернуть/защитить паролем закрытый ключ?