يدعم SSL.com حاليًا ملفات أوس كلاودHSM, Azure مخصص HSMو جوجل كلاود HSM لإصدار Adobe-Trust شهادات توقيع الوثيقة, شهادات توقيع كود IV / OVو شهادات توقيع رمز EV. توفر جميع خدمات HSM السحابية هذه أجهزة HSM مصدق عليها وفقًا لمعيار FIPS 140-2 من المستوى 3 لإنشاء مفاتيح التشفير وتخزينها. يقدم هذا الدليل نظرة عامة على إنشاء المفاتيح والتصديق وطلب الشهادات لأنظمة HSM السحابية هذه ، ويتضمن معلومات التسعير للشهادات المثبتة على وحدات HSM السحابية.
قبل أن يتمكن SSL.com من التوقيع وإصدار توقيع الرمز أو شهادات توقيع المستندات الموثوقة من Adobe ، يجب علينا أولاً الحصول على دليل على أن مفتاح التوقيع الخاص للعميل قد تم إنشاؤه بواسطة وتخزينه بشكل آمن على FIPS 140-2 المستوى 2 (أو أعلى) المعتمد الجهاز الذي لا يمكن تصديره منه. يُعرف فعل إثبات أن المفتاح الخاص يلبي هذه المتطلبات باسم شهادة. تختلف الإجراءات الدقيقة للمصادقة على المفتاح الخاص بين الأجهزة ومنصات الحوسبة السحابية.
خدمات أمازون ويب (AWS) CloudHSM
أمازون ويب سيرفيسز (أوس) CloudHSM لا توفر الخدمة حاليًا أي وسيلة يمكن من خلالها لـ SSL.com أتمتة التصديق على المفاتيح التي تم إنشاؤها على HSM. لهذا السبب ، نحتاج إلى حفل إنشاء زوج المفاتيح المشاهد عن بُعد قبل أن نتمكن من إصدار شهادات توقيع المستندات وتوقيع الرمز للتثبيت على AWS CloudHSM. سيتكبد إجراء المشاهدة عن بُعد هذا رسومًا إضافية مقابل الوقت الذي يقضيه موظفو SSL.com في الحفل.
خلال الحفل ، سيراقب موظفو SSL.com توليد واحد أو أكثر من أزواج مفاتيح التشفير مع مفاتيح خاصة غير قابلة للتصدير على مثيل CloudHSM عبر برنامج مؤتمرات الفيديو. بعد الحفل يمكن للعميل تقديم طلب توقيع شهادة (CSR) للتوقيع والإصدار بواسطة SSL.com. يرجى الرجوع إلى موقع أمازون وثائق AWS CloudHSM For CSR تعليمات الجيل.
تبلغ رسوم SSL.com لمراسم توليد المفاتيح على AWS CloudHSM 1200.00 دولارًا أمريكيًا.
Microsoft Azure مخصص HSM
مايكروسوفت Azure مخصص HSM تستخدم الخدمة SafeNet Luna Network HSM 7 Model A790 HSM. لونا cmu يمكن استخدام أداة سطر الأوامر لإنشاء زوج مفاتيح تشفير وطلب توقيع الشهادة (CSR) لتوقيع المستند أو توقيع الرمز ، جنبًا إلى جنب مع المعلومات المطلوبة من قبل SSL.com للتصديق. يرجى الرجوع إلى طاليس وثائق أداة إدارة الشهادات (CMU) للحصول على إرشادات كاملة حول العمل مع cmu خدمة.
عند إنشاء زوج المفاتيح الخاص بك مع cmu إنشاء keypair الأداة المساعدة ، تأكد من التأكد من أن المفتاح الخاص غير قابل للاستخراج (الإعداد الافتراضي غير قابل للاستخراج). يجب عليك إنشاء ملف CSR مع الالجائزة طلب شهادة CMU أمر.
بعد إنشاء زوج المفاتيح الخاص بك و CSR، اطلب ملف تأكيد المفتاح العام (PKC) للمفاتيح الجديدة بامتداد cmu getpkc أمر. يمكن استخدام هذا الملف بواسطة SSL.com لتأكيد إنشاء زوج المفاتيح على أجهزة متوافقة وأن المفتاح الخاص غير قابل للتصدير.
بعد إنشاء زوج المفاتيح الخاص بك ، CSRوملف PKC ، يمكنك إرسال ملف CSR و PKC إلى SSL.com للتحقق والتوقيع.
رسوم SSL.com لتأكيد Azure Dedicated HSM PKC هي 500.00 دولار أمريكي.
- Azure Dedicated HSM الذي يمكن لـ SSL.com تقديم خدمات التصديق عن بُعد له. أحضر المدقق الخاص بك يمكن أيضًا استخدام (BYOA) لخدمات Azure المخصصة لخدمة HSM بدلاً من شهادة SSL.com المقدمة.
- Azure Key Vault Managed HSM الذي لا يوفر المصادقة عن بعد ولا يمكننا حاليًا إثبات أنه مرجع مصدق بشكل مباشر بطريقة متوافقة. بينما نقبل استخدام Azure Key Vault Managed HSM ، يجب تدقيق إنشاء المفتاح المتوافق والتصديق عليه في خطاب من أحد متخصصي الأمان المعتمدين والموضح بالتفصيل في عملية BYOA.
في حالة عدم وجود ضابط أمن معتمد في المنظمة ، فهناك مزودي خدمة تصديق خارجيين يمكن إشراكهم للقيام بذلك. هنا مثال واحد: https://spearit.net/services/remote-key-attestation
جوجل كلاود HSM
جوجل سحابة HSM تستخدم الخدمة الأجهزة التي تم تصنيعها بواسطة Marvell (المعروفة سابقًا باسم Cavium) ، والتي يمكنها إنتاج بيانات تصديق موقعة لمفاتيح التشفير التي يمكن لـ SSL.com التحقق منها قبل إصدار شهادات توقيع المستند أو توقيع الرمز. يرجى الرجوع إلى موقع Google وثائق إدارة مفتاح السحابة عند إنشاء زوج المفاتيح وبيان الإقرار:
بعد إنشاء زوج المفاتيح الخاص بك ، CSRوبيان التصديق ، يمكنك إرسالها إلى SSL.com للتحقق والتوقيع. مستخدم جيثب مسائل وقد وفرت فائدة مفتوحة المصدر لإنشاء ملف CSR وتوقيعه بمفتاح خاص من Google Cloud HSM.
تبلغ رسوم SSL.com للمصادقة على Google Cloud HSM 500.00 دولارًا أمريكيًا.
أحضر المدقق الخاص بك (BYOA)
يمكن أيضًا إجراء الشهادات بواسطة أفراد مؤهلين آخرين حاصلين على شهادات معترف بها في مجال الأمن السيبراني. نحن نسمي هذا "أحضر المدقق الخاص بك" عندما يستخدم مالك HSM وسائل لإثبات إنشاء المفاتيح بخلاف استخدام خدمات التصديق الخاصة بـ SSL.com.
يمكن استخدام خيار BYOA لتنفيذ أي ملف حفل إنشاء المفاتيح (KGC) لنظام HSM متوافق حتى بالنسبة لهؤلاء HSMs SSL.com لا يوفر خدمات التصديق لـ.
بيوا يتطلب إعدادًا شاملاً ، وإلا فهناك خطر كبير يتمثل في رفض المفتاح الذي تم إنشاؤه. يمكن أن يحدث هذا إذا كان الجهاز المستخدم غير متوافق ، أو كان المدقق غير مؤهل ، أو أن تقرير المراجع لا يغطي متطلبات العملية. في مثل هذه الحالة ، يجب تكرار الحفل ، مما يؤدي إلى تكاليف إضافية وتأخيرات للعميل.
لتجنب مثل هذه السيناريوهات ، يتواصل دعم عملاء SSL.com و / أو متخصصو التحقق من الصحة مع العميل قبل KGC لتقديم التوجيه والتأكد مما يلي:
- تمت الموافقة على المراجع وفقًا للمعايير الموضحة أدناه
- متطلبات التحضير للحفل ، بالإضافة إلى سيناريو الحفل ، واضحة ويتم اتباعها بدقة حتى يتم إعداد بيئة KGC بشكل صحيح
- أي قيود و / أو شروط وأحكام خاصة بـ BYOA واضحة ومقبولة من قبل العميل
تفاصيل عن متطلبات المراجعين الخارجيين يمكن العثور عليها هنا.
مستويات تسعير Cloud HSM
بالنسبة للشهادات المثبتة على أنظمة HSM السحابية ، يقدم موقع SSL.com مستويات التسعير التالية ، بناءً على الحد الأقصى لعدد التوقيعات سنويًا.
| الطبقة | السعر | التوقيعات في السنة |
| الطبقة المجانية | سعر الشهادة الأساسية | 1,000 |
| الطبقة 1 | السعر الأساسي + 180.00 دولار | 2,000 |
| الطبقة 2 | السعر الأساسي + 300.00 دولار | 5,000 |
| الطبقة 3 | السعر الأساسي + 500.00 دولار | 10,000 |
| الطبقة 4 | اتصل بنا المبيعات | > 10,000 |
نموذج طلب خدمة Cloud HSM
إذا كنت ترغب في طلب شهادات رقمية للتثبيت على منصة HSM سحابية مدعومة (AWS CloudHSM أو Azure Dedicated HSM) ، يرجى ملء النموذج أدناه وإرساله. بعد أن نتلقى طلبك ، سيتصل بك أحد موظفي SSL.com لتزويدك بمزيد من التفاصيل حول عملية الطلب والمصادقة.
منصات Cloud HSM الأخرى
تقوم SSL.com حاليًا بتطوير واختبار إجراءات إصدار شهادات توقيع المستندات على مجموعة واسعة من خدمات وأجهزة HSM. إذا كنت ترغب في إبداء اهتمامك بطلب شهادات لمنصة ، فإننا لا ندعم بعد ونتلقى تحديثات على HSMs التي ندعمها ، فيرجى ملء نموذج استفسار HSM.
هل تحتاج إلى مزيد من الموارد لحساب SSL.com الخاص بك؟ تحقق من هذه الصفحات:
