Generer en anmodning om certifikatsignering i Azure Key Vault

Med virkning fra 1. juni 2023 har SSL.com opdateret sine nøglelagringsprotokoller for kodesigneringscertifikater, så de overholder nye retningslinjer udstedt af Certificate Authority/Browser (CA/B) Forum. Nu skal private nøgler sikres i krypterede USB-tokens, on-site FIPS-kompatible hardwaresikkerhedsmoduler (HSM) eller via cloud-baserede HSM-tjenester. Blandt de understøttede cloud-HSM-muligheder skiller Microsoft Azure Key Vault (Premium Tier) sig ud som et robust valg til lagring af private nøgler og generering af certifikatsigneringsanmodninger (CSRs). 

Når du ansøger om et signeringscertifikat med SSL.com, inkluderer processen generering af en certifikatsigneringsanmodning (CSR) som tjener som en formel anmodning til SSL.com om at validere og binde din identitet til et signeringscertifikat. De følgende afsnit viser, hvordan man genererer en CSR i Azure Key Vault (Premium Tier).

Forudsætninger

  1.  En Azure Key Vault (Premium Tier). Azure Key Vault-tjenesteniveauet, der skal bruges til denne proces, er Premium fordi det er FIPS 140-2 niveau 3 valideret.
    1. For instruktioner om, hvordan du opretter en Azure Key Vault, se venligst næste afsnit: Opret en Azure Key Vault.
    2. Hvis du allerede har en eksisterende Azure Key Vault, skal du fortsætte til den anden sektion: Generer en anmodning om certifikatsignering i Azure Key Vault.
  2. En signeringscertifikatordre fra SSL.com. 
For en komplet liste over cloud-HSM'er, som SSL.com understøtter til kodesignering, henvises til denne artikel: Understøttede Cloud HSM'er til dokumentsignering og kodesignering.

Opret en Azure Key Vault

  1. Log ind på Azure portal.

  2. Klik Opret en ressource.
  3. Rul til Nøglehvelv og klik på Opret .

  4. Under Grundlæggende sektion, skal du udføre følgende.
    1. Vælg abonnement og ressourcegruppe. Hvis det er nødvendigt, kan du oprette en ny ressourcegruppe ved at klikke Opret ny.
    2. Tildel et navn og område. Angiv et navn til din Key Vault, og vælg en region.
    3. Vælg Premium-prisniveauet. For at overholde FIPS 140-2-standarden skal du vælge "Premium"-prisniveauet.
    4. Konfigurer gendannelsesmuligheder. Indstil gendannelsesmulighederne for din nøgleboks, inklusive rensebeskyttelse og opbevaringsperioden for slettede bokse.
    5. Klik på knappen Næste knappen for at fortsætte til Få adgang til konfigurationsindstillinger sektion.

  5. Klik Adgang til konfiguration. Indstil adgangspolitikkerne til din Key Vault.
  6. Klik netværk. Vælg en forbindelsesmetode til din Key Vault.
  7. Klik Tags. Opret om ønsket tags til din Key Vault.

  8. Fortsæt til Gennemgå + opret. anmeldelse dine indstillinger, og klik derefter på knappen Opret for at oprette din nye nøgleboks.

  9. Azure vil derefter oprette din nye Key Vault. Når den er klar, kan du få adgang til den ved at klikke på Gå til ressource .

Generer en anmodning om certifikatsignering i Azure Key Vault

  1. Vælg din nøgleboks, og klik Certifikater.

  2. Klik på knappen Generer / Import knappen for at åbne Opret et certifikat vindue.

  3. Udfør følgende felter:
    1. Metode til oprettelse af certifikat: Vælg "Generer".
    2. Certifikatnavn: Indtast et unikt navn til dit certifikat.
    3. Type certifikatmyndighed (CA): Vælg "Certifikat udstedt af en ikke-integreret CA."
    4. Emne: Angiv X.509 Distinguished Name for dit certifikat.
    5. Gyldighedsperiode: Du kan lade dette sæt være som standard på 12 måneder. For kodesigneringscertifikater med længere gyldighedsperioder vil det udstedte certifikat matche din ordre, ikke CSR.
    6. Indholdstype: Vælg "PEM".
    7. Livsvarig handlingstype: Konfigurer Azure til at sende e-mail-advarsler baseret på en vis procentdel af certifikatets levetid eller et specifikt antal dage før udløb.
  4. Avanceret politikkonfiguration. Klik på Avanceret politikkonfiguration for at indstille nøglestørrelsen, -typen og -politikkerne for nøglegenbrug og -eksporterbarhed.
    1. For certifikater udstedt af SSL.com kan du lade være Udvidede nøgleanvendelser (EKU'er), X.509 Nøgleforbrugog Aktivér gennemsigtighed i certifikater ved deres standardværdier.
    2. Genbruge nøgle ved fornyelse? Vælg Nej.
    3. Eksporterbar privat nøgle? Vælg Nej.
    4. Key Type. Vælg RSA+HSM
    5. Nøglestørrelse. For et kodesigneringscertifikat kan du kun vælge mellem 3072 eller 4096.

  5.  Når du er færdig med at indstille den avancerede politikkonfiguration, skal du klikke på OK knappen efterfulgt af Opret.

  6. Certifikater sektion, skal du finde dit certifikat på listen over i gang, mislykkedes eller aflyst certifikater og klik på den.
  7. Klik Certifikatdrift.

  8. Klik Hent CSR og gem filen et sikkert sted.

Indsend anmodningen om certifikatsignering (CSR) til SSL.com 

Den downloadede CSR file will be submitted to the SSL.com agent assigned to the subscriber. Sammen med CSR file, the subscriber must also submit the Auditor Attestation Form. The template for the form can be downloaded from this article: Bring Your Own Auditor (BYOA) Vejledning til attestering af privat nøglegenerering. After this, the process will proceed to verification of the documents submitted. The SSL.com agent assigned to the subscriber will provide updates up until the signing certificate is ready for issuance.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.