本文主要介绍安装 Active Directory 证书服务时的常见错误。在服务器管理器上配置设置时，SafeNet Luna Cryptographic Key Provider 的选项不可用。

问题描述

CA 服务不工作。

错误代码

• 提供程序名称：SafeNet Key Storage Provider

• SafeNet Key Storage Provider：提供程序 DLL 未能正确初始化。

• CertUtil：-csplist 命令失败：0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)

• CertUtil：The device that is required by this cryptographic provider is not ready for use（此加密提供程序所需的设备尚未准备好使用）

描述

尽管安装了 KSPConfig 并成功完成了所有 HSM 设置，但在配置 ADCS 以颁发 CA 时，我们没有获得 SafeNet Luna 加密密钥提供程序的选项。

完成的步骤

• 我们确实运行了 certutil -csplist 来检查 SafeNet Key Storage Provider 是否配置正确。

• 检查 vtl 验证是否正常工作。

• 尝试再次重新安装 KSP 配置。

• 我们运行 Regedit 来检查注册表中是否有 SafeNet 的选项

解决方案

这是 SafeNet HSM 配置的一般错误。为了解决这个问题，我们所做的是通过重新注册帐户并重新启动系统来重新配置 HSM。它确实解决了这种情况下的问题。

使用 GUI 配置 KSP

您可以使用 KspConfig 实用程序为您的分区配置 KSP。加密官员必须使用客户端上的管理员权限完成此过程。

您可以向 KSP 注册以下用户/域组合：

• 具有特定于客户端的域的管理员用户。默认 Windows 域的格式为 WIN-XXXXXXXXXXX。

• 具有NT-AUTHORITY 域的SYSTEM 用户 

配置工具向特定用户注册 Crypto Officer 密码/质询，以便只有该用户可以解锁分区（Partion）。

使用 GUI 配置 KSP 的步骤

1.在 Windows 资源管理器中，导航到 Luna KSP 安装目录并  以 管理员 用户身份启动KspConfig 。

2.在左侧面板中，双击 注册或查看安全库。输入 cryptoki.dll的文件路径 或单击浏览找到它。

<client_install_dir> \cryptoki.dll

点击 Register（注册） 完成注册。

3.在左侧面板中，双击 Register HSM Slots。选择要注册的 管理员 用户、客户端域和Slot（可用插槽）。输入 CO 密码/挑战，然后单击 Register Slot。

4.选择 SYSTEM 用户和 NT-AUTHORITY 域并注册插槽。

5.对您想向 KSP 注册的任何其他可用Slot重复步骤 3-4。

（一个常见的错误是只重新配置它而不重新启动系统）。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD