Понастоящем SSL.com поддържа AWS облакHSM, Специализиран HSM за Azure, и Google Cloud HSM на Google за издаване на Adobe-доверено сертификати за подписване на документи, Сертификати за подписване на код IV/OV, и Сертификати за подписване на EV код. Всички тези облачни HSM услуги осигуряват валидиран HSM хардуер на FIPS 140-2 Level 3 за генериране и съхраняване на ключове за криптиране. Това ръководство предоставя преглед на генерирането на ключове, атестирането и подреждането на сертификати за тези HSM платформи в облака и включва информация за цените на сертификатите, инсталирани на HSM в облака.
Преди SSL.com да може да подпише и издаде подписване на код или доверени от Adobe сертификати за подписване на документи, първо трябва да получим доказателство, че личният ключ за подписване на клиента е генериран от и е сигурно съхранен на сертифициран FIPS 140-2 ниво 2 (или по-високо) устройство, от което не може да се експортира. Актът на доказване, че частният ключ отговаря на тези изисквания е известен като удостоверяване. Точните процедури за атестиране на частни ключове варират между устройствата и платформите за изчислителни облаци.
Услуги на Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM Понастоящем услугата не предоставя никакви средства, чрез които SSL.com може да автоматизира удостоверяването на ключове, генерирани на HSM. Поради тази причина изискваме церемония за генериране на двойка ключове с дистанционно свидетелство, преди да можем да издадем сертификати за подписване на документи и подписване на код за инсталиране на AWS CloudHSM. Тази процедура за дистанционно свидетелство ще наложи допълнителна такса за времето, прекарано от персонала на SSL.com на церемонията.
По време на церемонията служителите на SSL.com ще наблюдават генерирането на една или повече двойки криптографски ключове с неизносими частни ключове на екземпляр на CloudHSM чрез софтуер за видеоконференции. След церемонията клиентът може да подаде заявка за подписване на сертификат (CSR) за подписване и издаване от SSL.com. Моля, обърнете се към Amazon Документация на AWS CloudHSM за CSR инструкции за генериране.
Таксата на SSL.com за церемонии по генериране на ключове на AWS CloudHSM е $ 1200.00 USD.
Специализиран HSM за Microsoft Azure
на Microsoft Специализиран HSM за Azure услугата използва SafeNet Luna Network HSM 7 Модел A790 HSM. Луната cmu инструментът на командния ред може да се използва за генериране на двойка криптографски ключове и заявка за подписване на сертификат (CSR) за подписване на документ или подписване на код, заедно с информация, изисквана от SSL.com за удостоверяване. Моля, обърнете се към Thales Документация на помощната програма за управление на сертификати (CMU) за пълни инструкции за работа с cmu полезност.
Когато генерирате вашата двойка ключове с cmu generatorkeypair полезна, бъдете сигурни, че частният ключ не може да се извлече (настройката по подразбиране не може да се извлича). Трябва да генерирате своя CSR с cmu заявка за сертификат команда.
След генериране на вашата двойка ключове и CSR, поискайте файл за потвърждение на публичен ключ (PKC) за новите ключове с cmu getpkc команда. Този файл може да се използва от SSL.com, за да потвърди, че двойката ключове е генерирана на съвместим хардуер и частният ключ не може да се експортира.
След като генерирате вашата двойка ключове, CSRи PKC файл, можете да изпратите CSR и PKC към SSL.com за валидиране и подписване.
Таксата на SSL.com за Azure Dedicated HSM PKC потвърждение е $ 500.00 USD.
- Azure Dedicated HSM, за който SSL.com може да предостави услуги за дистанционно удостоверяване. Доведете свой собствен одитор (BYOA) може също да се използва за Azure Dedicated HSM услуги вместо предоставената атестация SSL.com.
- HSM, управляван от Azure Key Vault, който не предоставя дистанционно удостоверяване и в момента не можем да удостоверим директно като CA по съвместим начин. Въпреки че приемаме използването на HSM, управляван от Azure Key Vault, съвместимото генериране на ключове трябва да бъде проверено и удостоверено в писмо от сертифициран специалист по сигурността, което е подробно описано в BYOA процес.
Ако в организацията не съществува сертифициран служител по сигурността, има външни доставчици на атестационни услуги, които могат да бъдат ангажирани да го направят. Ето един пример: https://spearit.net/services/remote-key-attestation
Google Cloud HSM на Google
На Google Облачен HSM услугата използва устройства, произведени от Marvell (бивш Cavium), които могат да произвеждат подписани изявления за удостоверяване за криптографски ключове, които SSL.com може да провери, преди да издаде сертификати за подписване на документи или кодове. Моля, обърнете се към Google Документация за управление на облачен ключ при генериране на вашата двойка ключове и изявление за атестация:
След като генерирате вашата двойка ключове, CSR, и декларация за атестация, можете да ги изпратите на SSL.com за валидиране и подписване. Потребител на GitHub матове е предоставил помощна програма с отворен код за създаване на CSR и го подписва с частен ключ от Google Cloud HSM.
Таксата на SSL.com за Google Cloud HSM атестация е $500.00 USD.
Доведете свой собствен одитор (BYOA)
Атестациите могат да се извършват и от други квалифицирани лица, които имат признати сертификати за киберсигурност. Ние наричаме това „Доведете свой собствен одитор“, когато собственикът на HSM използва средства за атестация за генериране на ключ, различни от използването на услугите за атестация на SSL.com.
Опцията BYOA може да се използва за извършване на всякакви Церемония за генериране на ключове (KGC) на съвместим HSM дори за тези HSM, за които SSL.com не предоставя услуги за удостоверяване.
BYOA изисква задълбочена подготовка, в противен случай съществува значителен риск от отхвърляне на генерирания ключ. Това може да се случи, ако използваното устройство не е съвместимо, одиторът не е квалифициран или докладът на одитора не покрива изискванията на процеса. В такъв случай церемонията ще трябва да се повтори, което ще доведе до допълнителни разходи и закъснения за клиента.
За да се избегнат подобни сценарии, специалистите по поддръжка на клиенти и/или валидиране на SSL.com комуникират с клиента преди KGC да предоставя насоки и да гарантира следното:
- Одиторът е одобрен съгласно критериите, описани по-долу
- Изискванията за подготовка на церемонията, както и сценарият на церемонията, са ясни и се следват стриктно, така че средата на KGC да е правилно подготвена
- Всички ограничения и/или специфични за BYOA условия са ясни и приети от клиента
Подробности за изискванията към външните одитори можете да намерите тук.
Cloud HSM Ценови нива
За сертификати, инсталирани на платформи HSM в облака, SSL.com предлага следните ценови нива въз основа на максималния брой подписвания годишно.
| ред | Цена | Подписвания на година |
| Безплатно ниво | Основна цена на сертификата | 1,000 |
| Tier 1 | Базова цена + $ 180.00 | 2,000 |
| Tier 2 | Базова цена + $ 300.00 | 5,000 |
| Tier 3 | Базова цена + $ 500.00 | 10,000 |
| Tier 4 | Свържете се с продажбите | > 10,000 |
Формуляр за заявка за услуга Cloud HSM
Ако искате да поръчате цифрови сертификати за инсталиране на поддържана облачна HSM платформа (AWS CloudHSM или Azure Dedicated HSM), моля, попълнете и изпратете формуляра по-долу. След като получим вашата заявка, член на екипа на SSL.com ще се свърже с вас с повече подробности относно процеса на поръчка и удостоверяване.
Други Cloud HSM платформи
SSL.com в момента разработва и тества процедури за издаване на сертификати за подписване на документи на широка гама от HSM услуги и хардуер. Ако искате да изразите интерес към поръчка на сертификати за платформа, която все още не поддържаме, и да получавате актуализации за поддържаните от нас HSM, моля, попълнете нашия Формуляр за запитване на HSM.
Нуждаете се от повече ресурси за вашия акаунт в SSL.com? Разгледайте тези страници:
