SSL.com aktuálně podporuje AWS CloudHSM, Azure vyhrazené HSM, a Google Cloud HSM pro vydání důvěryhodného Adobe Podepisování certifikátů, Certifikáty pro podepisování kódu IV/OV, a Certifikáty pro podepisování EV kódu. Všechny tyto cloudové služby HSM poskytují hardware HSM s ověřením FIPS 140-2 úrovně 3 pro generování a ukládání šifrovacích klíčů. Tato příručka poskytuje přehled generování klíčů, ověřování a objednávání certifikátů pro tyto cloudové platformy HSM a obsahuje informace o cenách certifikátů nainstalovaných v cloudových HSM.
Než bude SSL.com moci podepisovat a vydávat podepisování kódu nebo certifikáty pro podepisování dokumentů důvěryhodných Adobe, musíme nejprve získat důkaz, že soukromý podpisový klíč zákazníka byl vygenerován a je bezpečně uložen na certifikovaném FIPS 140-2 Level 2 (nebo vyšší). zařízení, ze kterého jej nelze exportovat. Akt prokázání, že soukromý klíč splňuje tyto požadavky, je známý jako potvrzení. Přesné postupy pro ověřování soukromých klíčů se u různých zařízení a cloudových výpočetních platforem liší.
Cloudové služby Amazon Web Services (AWS)
Amazon Web Services (AWS) CloudHSM Služba v současné době neposkytuje žádné prostředky, kterými by SSL.com mohl automatizovat ověřování klíčů generovaných na HSM. Z tohoto důvodu vyžadujeme obřad generování páru klíčů na dálku, než budeme moci vydat certifikáty pro podepisování dokumentů a kódů pro instalaci na AWS CloudHSM. Tento postup vzdáleného svědectví bude vyžadovat příplatek za čas strávený zaměstnanci SSL.com na obřadu.
Během ceremoniálu budou zaměstnanci SSL.com sledovat generování jednoho nebo více párů kryptografických klíčů s neexportovatelnými soukromými klíči na instanci CloudHSM prostřednictvím videokonferenčního softwaru. Po ceremoniálu může zákazník podat žádost o podpis certifikátu (CSR) pro podepisování a vydávání SSL.com. Viz Amazon Dokumentace AWS CloudHSM for CSR pokyny pro generování.
Poplatek SSL.com za ceremonie generování klíčů na AWS CloudHSM je 1200.00 XNUMX USD.
Microsoft Azure Dedicated HSM
Microsoft je Azure vyhrazené HSM služba používá SafeNet Luna Network HSM 7 Model A790 HSM. Luna cmu nástroj příkazového řádku lze použít ke generování dvojice kryptografických klíčů a žádosti o podpis certifikátu (CSR) pro podepisování dokumentů nebo kódování spolu s informacemi požadovanými SSL.com pro atestaci. Podívejte se prosím na Thales' Dokumentace nástroje CMU (Certificate Management Utility) úplné pokyny k práci s cmu utilita.
Při generování páru klíčů s cmu generovat pár klíčů Utility se ujistěte, že soukromý klíč nelze extrahovat (výchozí nastavení je neextrahovatelné). Měli byste vygenerovat svůj CSR s žádost o certifikát cmu příkaz.
Po vygenerování páru klíčů a CSR, požádejte o soubor s potvrzením veřejného klíče (PKC) pro nové klíče pomocí cmu getpkc příkaz. Tento soubor může SSL.com použít k potvrzení, že pár klíčů byl vygenerován na kompatibilním hardwaru a že soukromý klíč nelze exportovat.
Po vygenerování páru klíčů CSRa soubor PKC můžete odeslat CSR a PKC na SSL.com k ověření a podepsání.
Poplatek SSL.com za potvrzení Azure Dedicated HSM PKC je 500.00 USD.
- Azure Dedicated HSM, pro které může SSL.com poskytovat služby vzdálené atestace. Přiveďte si vlastního auditora (BYOA) lze také použít pro služby Azure Dedicated HSM namísto poskytnuté atestace SSL.com.
- Azure Key Vault Managed HSM, který neposkytuje vzdálenou atestaci a kterou aktuálně nemůžeme ověřovat přímo jako CA v souladu s předpisy. I když přijímáme použití Azure Key Vault Managed HSM, generování klíčů, které je v souladu, musí být auditováno a ověřeno v dopise od certifikovaného odborníka na zabezpečení, který je podrobně popsán v proces BYOA.
Pokud v organizaci neexistuje certifikovaný bezpečnostní technik, existují externí poskytovatelé atestačních služeb, které lze najmout. Zde je jeden příklad: https://spearit.net/services/remote-key-attestation
Google Cloud HSM
Google je Cloud HSM Služba využívá zařízení vyrobená společností Marvell (dříve Cavium), která dokážou vytvářet podepsané atestační prohlášení pro kryptografické klíče, které může SSL.com ověřit před vydáním certifikátů pro podepisování dokumentů nebo kódů. Podívejte se prosím na Google Dokumentace ke správě cloudových klíčů při generování vašeho páru klíčů a prohlášení o osvědčení:
Po vygenerování páru klíčů CSRa prohlášení o osvědčení, můžete je odeslat na SSL.com k ověření a podepsání. Uživatel GitHub Mattes poskytl open-source nástroj pro vytvoření CSR a podepsání soukromým klíčem od Google Cloud HSM.
Poplatek SSL.com za atestaci Google Cloud HSM je 500.00 USD.
Přineste si vlastního auditora (BYOA)
Atestace mohou provádět i jiné kvalifikované osoby, které mají uznávané certifikáty kybernetické bezpečnosti. Říkáme tomu „Přineste si vlastního auditora“, když vlastník HSM využívá prostředky pro generování klíčů jiné než použití atestačních služeb SSL.com.
Možnost BYOA lze použít k provedení libovolného Slavnostní generování klíčů (KGC) vyhovujícího HSM i pro ty HSM SSL.com neposkytuje atestační služby.
BYOA vyžaduje důkladnou přípravu, jinak existuje značné riziko zamítnutí vygenerovaného klíče. K tomu může dojít, pokud použité zařízení není v souladu, auditor není kvalifikovaný nebo zpráva auditora nepokrývá požadavky procesu. V takovém případě se bude muset obřad opakovat, což má za následek dodatečné náklady a zpoždění pro klienta.
Aby se takovým scénářům předešlo, komunikuje zákaznická podpora a/nebo specialisté na ověřování SSL.com se zákazníkem před KGC poskytnout pokyny a zajistit následující:
- Auditor je schválen podle kritérií popsaných níže
- Požadavky na přípravu obřadu, stejně jako scénář obřadu, jsou jasné a důsledně dodržovány, aby prostředí KGC bylo řádně připraveno
- Jakákoli omezení a/nebo podmínky specifické pro BYOA jsou jasné a zákazník je přijímá
Podrobnosti o požadavcích na externí auditory lze nalézt zde.
Cenové úrovně cloudových HSM
Pro certifikáty nainstalované na cloudových platformách HSM nabízí SSL.com následující cenové úrovně založené na maximálním počtu podpisů za rok.
| stupeň | Cena | Podpisy za rok |
| Úroveň zdarma | Cena základního certifikátu | 1,000 |
| Tier 1 | Základní cena + 180.00 $ | 2,000 |
| Tier 2 | Základní cena + 300.00 $ | 5,000 |
| Tier 3 | Základní cena + 500.00 $ | 10,000 |
| Tier 4 | Kontakt Prodej | > 10,000 |
Formulář žádosti o službu Cloud HSM
Pokud si chcete objednat digitální certifikáty pro instalaci na podporovanou cloudovou platformu HSM (AWS CloudHSM nebo Azure Dedicated HSM), vyplňte a odešlete níže uvedený formulář. Poté, co obdržíme vaši žádost, bude vás kontaktovat pracovník SSL.com s dalšími podrobnostmi o procesu objednávky a atestace.
Další cloudové HSM platformy
SSL.com v současné době vyvíjí a testuje postupy pro vydávání certifikátů pro podepisování dokumentů na široké škále služeb a hardwaru HSM. Pokud byste chtěli vyjádřit zájem o objednání certifikátů pro platformu, kterou zatím nepodporujeme, a dostávat aktualizace o HSM, které podporujeme, vyplňte prosím Poptávkový formulář HSM.
Potřebujete více zdrojů pro svůj účet SSL.com? Podívejte se na tyto stránky:
