Generer en anmodning om certifikatsignering i Azure Key Vault

Lignende indhold

Kopiér artikellinket
Med virkning fra 1. juni 2023 har SSL.com opdateret sine nøglelagringsprotokoller for kodesigneringscertifikater og fjernet muligheden for at indhente kodesigneringscertifikater i PFX-format. Dette blev vedtaget for at overholde retningslinjer udgivet af Certificate Authority/Browser (CA/B) Forum, som kræver, at de private nøgler til kodesigneringscertifikater sikres i krypterede enheder (såsom tokens), on-site FIPS-kompatible hardwaresikkerhedsmoduler (HSM'er) eller via cloudbaserede HSM-tjenester. 

Blandt de understøttede cloud-HSM-muligheder skiller Microsoft Azure Key Vault (Premium Tier) sig ud som et robust valg til lagring af private nøgler og generering af certifikatsigneringsanmodninger (CSRs).  For at bruge Azure Key Vault (Premium-niveau) skal brugerne oprette en anmodning om certifikatsignering (CSR), som fungerer som en officiel indsendelse til SSL.com for at udstede et kodesigneringscertifikat. Før en CSR bruges til at udstede et certifikat, en certifikatmyndighed som f.eks. SSL.com skal verificere, at den private nøgle vil være grundlaget for den kryptering, der bruges i anmodningen, og at den blev oprettet og sikkert opbevaret på en certificeret enhed, der opfylder FIPS 140-2 niveau 2 (eller derover) standarder, med beskyttelse mod nøgleeksport. Denne verifikation udføres gennem en attesteringsproces, som kan udføres enten af en kvalificeret sikkerhedsansvarlig udpeget af registranten eller gennem en attesteringstjeneste leveret af SSL.com. De følgende afsnit indeholder instruktioner om, hvordan kunder kan generere en CSR og gennemgå ceremonitjeneste udført af SSL.coms ekspertteam.

Forudsætninger

  1.  En Azure Key Vault (Premium Tier). Azure Key Vault-tjenesteniveauet, der skal bruges til denne proces, er Premium fordi det er FIPS 140-2 niveau 3 valideret.
    1. For instruktioner om, hvordan du opretter en Azure Key Vault, se venligst næste afsnit: Opret en Azure Key Vault.
    2. Hvis du allerede har en eksisterende Azure Key Vault, skal du fortsætte til den anden sektion: Generer en anmodning om certifikatsignering i Azure Key Vault.
  2. En signeringscertifikatordre fra SSL.com. 
For en komplet liste over cloud-HSM'er, som SSL.com understøtter til kodesignering, henvises til denne artikel: Understøttede Cloud HSM'er til dokumentsignering og kodesignering.

Opret en Azure Key Vault

  1. Log ind på Azure portal.

  2. Klik Opret en ressource.
  3. Rul til Nøglehvelv og klik på Opret .

  4. Under Grundlæggende sektion, skal du udføre følgende.
    1. Vælg abonnement og ressourcegruppe. Hvis det er nødvendigt, kan du oprette en ny ressourcegruppe ved at klikke Opret ny.
    2. Tildel et navn og område. Angiv et navn til din Key Vault, og vælg en region.
    3. Vælg Premium-prisniveauet. For at overholde FIPS 140-2-standarden skal du vælge "Premium"-prisniveauet.
    4. Konfigurer gendannelsesmuligheder. Indstil gendannelsesmulighederne for din nøgleboks, inklusive rensebeskyttelse og opbevaringsperioden for slettede bokse.
    5. Klik på knappen Næste knappen for at fortsætte til Få adgang til konfigurationsindstillinger sektion.

  5. Klik Adgang til konfiguration. Indstil adgangspolitikkerne til din Key Vault.
  6. Klik netværk. Vælg en forbindelsesmetode til din Key Vault.
  7. Klik Tags. Opret om ønsket tags til din Key Vault.

  8. Fortsæt til Gennemgå + opret. Anmeldelse dine indstillinger, og klik derefter på knappen Opret for at oprette din nye nøgleboks.

  9. Azure vil derefter oprette din nye Key Vault. Når den er klar, kan du få adgang til den ved at klikke på Gå til ressource .

Generer en anmodning om certifikatsignering i Azure Key Vault

  1. Vælg din nøgleboks, og klik Certifikater.

  2. Klik på knappen Generer / Import knappen for at åbne Opret et certifikat vindue.

  3. Udfør følgende felter:
    1. Metode til oprettelse af certifikat: Vælg "Generer".
    2. Certifikatnavn: Indtast et unikt navn til dit certifikat.
    3. Type certifikatmyndighed (CA): Vælg "Certifikat udstedt af en ikke-integreret CA."
    4. Emne: Angiv X.509 Distinguished Name for dit certifikat.
    5. Gyldighedsperiode: Du kan lade dette sæt være som standard på 12 måneder. For kodesigneringscertifikater med længere gyldighedsperioder vil det udstedte certifikat matche din ordre, ikke CSR.
    6. Indholdstype: Vælg "PEM".
    7. Livsvarig handlingstype: Konfigurer Azure til at sende e-mail-advarsler baseret på en vis procentdel af certifikatets levetid eller et specifikt antal dage før udløb.
  4. Avanceret politikkonfiguration. Klik på Avanceret politikkonfiguration for at indstille nøglestørrelsen, -typen og -politikkerne for nøglegenbrug og -eksporterbarhed.
    1. For certifikater udstedt af SSL.com kan du lade være Udvidede nøgleanvendelser (EKU'er), X.509 Nøgleforbrugog Aktivér gennemsigtighed i certifikater ved deres standardværdier.
    2. Genbruge nøgle ved fornyelse? Vælg Nej.
    3. Eksporterbar privat nøgle? Vælg Nej.
    4. Key Type. Vælg RSA+HSM
    5. Nøglestørrelse. For et kodesigneringscertifikat kan du kun vælge mellem 3072 eller 4096.

  5.  Når du er færdig med at indstille den avancerede politikkonfiguration, skal du klikke på OK knappen efterfulgt af Opret.

  6. Certifikater sektion, skal du finde dit certifikat på listen over i gang, mislykkedes eller aflyst certifikater og klik på den.
  7. Klik Certifikatdrift.

  8. Klik Hent CSR og gem filen et sikkert sted.

Indsend CSR til SSL.com og gennemgå attestering

Når du har genereret dit nøglepar og din anmodning om certifikatsignering (CSR), er det næste vigtige trin attestering. Før SSL.com kan udstede et kodesigneringscertifikat, skal vi bekræfte, at din private nøgle blev genereret og er sikkert gemt på en FIPS 140-2 niveau 2 (eller højere) certificeret enhed med ikke-eksporterbar nøglebeskyttelse.  For kunder, der bruger Azure Key Vault Premium Tier, er der to attesteringsmuligheder:

SSL.com som revisor
 Du kan vælge at få SSL.com til at fungere som revisor mod et gebyr. For yderligere information, kontakt venligst SSL.coms salgsteam via sales@ssl.com   

Medbring din egen revisor (BYOA)
Kunder kan vælge en kvalificeret revisor til at bekræfte, at de private nøgler blev genereret og gemt på et kompatibelt Hardware Security Module (HSM). Denne metode kaldes Medbring din egen revisor (BYOA).

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse
Beskyttelse af personlige oplysninger
SSL.com

Dette websted bruger cookies, så vi kan give dig den bedst mulige brugeroplevelse. Cookieoplysninger gemmes i din browser og udfører funktioner som at genkende dig, når du vender tilbage til vores websted og hjælpe vores team med at forstå, hvilke sektioner på webstedet du finder mest interessante og nyttige.

For mere information, se vores Cookie- og fortrolighedserklæring.

3. parts cookies

Denne hjemmeside bruger Google Analytics & Stattæller at indsamle anonyme oplysninger såsom antallet af besøgende på webstedet og de mest populære sider.

At holde disse cookies aktiveret hjælper os med at forbedre vores websted.

Vis detaljer
drevet af  GDPR Cookie-overholdelse