Understøttede Cloud HSM'er til dokumentsignering og kodesignering

SSL.com understøtter i øjeblikket AWS CloudHSM, Azure dedikeret HSMog Google Cloud HSM til udstedelse af Adobe-betroet dokumentunderskrivelsescertifikater, IV/OV-kodesigneringscertifikaterog EV-kode underskrivelsescertifikater. Alle disse cloud HSM-tjenester leverer FIPS 140-2 niveau 3-valideret HSM-hardware til generering og lagring af krypteringsnøgler. Denne vejledning giver en oversigt over generering, attestering og certifikatbestilling af nøgler til disse cloud-HSM-platforme og inkluderer prisoplysninger for certifikater installeret på cloud-HSM'er.

Hvad er attestation?
Før SSL.com kan underskrive og udstede kodesignering eller Adobe-betroede dokumentsigneringscertifikater, skal vi først indhente bevis for, at kundens private signeringsnøgle er genereret af og er sikkert opbevaret på en FIPS 140-2 Level 2 (eller højere) certificeret enhed, hvorfra den ikke kan eksporteres. Handlingen med at bevise, at en privat nøgle opfylder disse krav er kendt som kursusbevis. De nøjagtige procedurer for attestering af private nøgler varierer mellem enheder og cloud computing-platforme.

Amazon Web Services (AWS) CloudHSM

Amazon Web Services (AWS) CloudHSM tjenesten giver i øjeblikket ingen måde, hvorpå SSL.com kan automatisere attestering af nøgler, der er genereret på HSM. Af denne grund kræver vi en fjernovervåget nøglepargenereringsceremoni, før vi kan udstede dokumentsignering og kodesigneringscertifikater til installation på AWS CloudHSM. Denne fjernvidneprocedure vil medføre et ekstra gebyr for tid brugt af SSL.com-medarbejdere på ceremonien.

Under ceremonien vil SSL.com-medarbejdere observere genereringen af ​​et eller flere kryptografiske nøglepar med ikke-eksporterbare private nøgler på en CloudHSM-instans via videokonferencesoftware. Efter ceremonien kan kunden indsende en anmodning om certifikatsignatur (CSR) til signering og udstedelse af SSL.com. Se Amazon's AWS CloudHSM-dokumentation forum CSR generation instruktioner.

SSL.coms gebyr for nøglegenerationsceremonier på AWS CloudHSM er $ 1200.00 USD.

Microsoft Azure dedikeret HSM

Microsofts Azure dedikeret HSM tjenesten bruger SafeNet Luna Network HSM 7 Model A790 HSM. Lunaen cmu kommandolinjeværktøj kan bruges til at generere et kryptografisk nøglepar og en anmodning om signatsignering (CSR) til dokumentsignering eller kodesignering sammen med oplysninger, der kræves af SSL.com til attestering. Se venligst Thales' Certificate Management Utility (CMU) dokumentation for fulde instruktioner om at arbejde med cmu nytte.

Når du genererer dit nøglepar med cmu-genereringstypepar værktøj, skal du sørge for, at den private nøgle ikke kan udvindes (standardindstillingen er ikke udvindbar). Du skal generere din CSR med cmu anmodningscertifikat kommando.

Efter generering af dit nøglepar og CSR, anmode om en offentlig nøglebekræftelsesfil (PKC) for de nye nøgler med cmu getpkc kommando. Denne fil kan bruges af SSL.com til at bekræfte, at nøgleparret blev genereret på kompatibel hardware, og at den private nøgle ikke kan eksporteres.

Efter at have genereret dit nøglepar, CSR, og PKC-fil, kan du indsende CSR og PKC til SSL.com til validering og signering.

SSL.coms gebyr for Azure Dedikeret HSM PKC-bekræftelse er $ 500.00 USD.

Der er tre typer Azure-nøglestyringsløsninger, som SSL.com kan bruge til at signere certifikater:

Azure Key Vault (Premium Tier) og Azure Dedicated HSM, som SSL.com kan levere fjernattesteringstjenester til. Medbring din egen revisor (BYOA) kan også bruges til Azure Key Vault og Azure Dedicated HSM-tjenester i stedet for den leverede SSL.com-attest. 

Azure Key Vault Managed HSM, som ikke giver mulighed for fjernattestering, og vi kan i øjeblikket ikke attestere direkte som CA på en kompatibel måde. Selvom vi accepterer brugen af ​​Azure Key Vault Managed HSM, skal den kompatible nøglegenerering revideres og attesteres i et brev fra en certificeret sikkerhedsekspert, som er beskrevet i BYOA-proces.

Hvis der ikke findes en certificeret sikkerhedsofficer i organisationen, er der eksterne attestationsudbydere, som kan blive ansat til at gøre det. Her er et eksempel: https://spearit.net/services/remote-key-attestation

Google Cloud HSM

Googles Cloud HSM tjenesten bruger enheder fremstillet af Marvell (tidligere Cavium), som kan producere underskrevne attestationserklæringer for kryptografiske nøgler, som SSL.com kan verificere, før de udsteder dokumentsignering eller kodesigneringscertifikater. Se venligst Googles Cloud Key Management-dokumentation når du genererer dit nøglepar og attesterklæring:

Efter at have genereret dit nøglepar, CSR, og attesterklæring, kan du sende dem til SSL.com til validering og signering. GitHub-bruger måtter har leveret en open source-værktøj til oprettelse af en CSR og underskrive den med en privat nøgle fra Google Cloud HSM.

SSL.coms gebyr for Google Cloud HSM-attestering er $500.00 USD.

Medbring din egen revisor (BYOA)

Attesteringer kan også udføres af andre kvalificerede personer, der har anerkendte cybersikkerhedscertificeringer. Vi kalder dette "Bring Your Own Auditor", når ejeren af ​​HSM'en anvender midler til nøglegenereringsattest, bortset fra at bruge SSL.com's attestationstjenester. 

BYOA-indstillingen kan bruges til at udføre evt Key Generation Ceremony (KGC) af en kompatibel HSM, selv for de HSM'er, som SSL.com ikke leverer attestationstjenester til. 

BYOA kræver grundig forberedelse, ellers er der en betydelig risiko for afvisning af den genererede nøgle. Dette kan ske, hvis den anvendte enhed ikke er kompatibel, revisor ikke er kvalificeret, eller revisors beretning ikke dækker kravene i processen. I et sådant tilfælde vil ceremonien skulle gentages, hvilket medfører ekstra omkostninger og forsinkelser for klienten. 

For at undgå sådanne scenarier kommunikerer SSL.coms kundesupport og/eller valideringsspecialister med kunden før KGC at give vejledning og sikre følgende:

  • Revisor godkendes efter kriterierne beskrevet nedenfor
  • Kravene til ceremoniforberedelser såvel som ceremonimanuskriptet er klare og fulgt grundigt, så KGC-miljøet er ordentligt forberedt
  • Eventuelle begrænsninger og/eller BYOA-specifikke vilkår og betingelser er klare og accepteret af kunden

Detaljer om krav til ekstern revisor kan findes her.

Cloud HSM-prisniveauer

For certifikater installeret på HSM-cloud-platforme tilbyder SSL.com følgende prisniveauer baseret på det maksimale antal signeringer pr. År.

dyr Pris Underskrifter pr. År
Gratis niveau Basiscertifikatpris 1,000
Tier 1 Basispris + $ 180.00 2,000
Tier 2 Basispris + $ 300.00 5,000
Tier 3 Basispris + $ 500.00 10,000
Tier 4 Kontakt salgsafdelingen > 10,000

Cloud HSM-serviceanmodningsformular

Hvis du gerne vil bestille digitale certifikater til installation på en understøttet cloud HSM-platform (AWS CloudHSM eller Azure Dedicated HSM), skal du udfylde og indsende formularen nedenfor. Efter at vi har modtaget din anmodning, vil et medlem af SSL.coms personale kontakte dig med flere detaljer om bestillings- og attestationsprocessen.

Andre Cloud HSM-platforme

SSL.com udvikler og tester i øjeblikket procedurer for udstedelse af dokumentsigneringscertifikater på en bred vifte af HSM-tjenester og hardware. Hvis du gerne vil udtrykke interesse for at bestille certifikater til en platform, vi endnu ikke understøtter, og modtager opdateringer om de HSM'er, vi understøtter, bedes du udfylde vores HSM-undersøgelsesformular.

Har du brug for flere ressourcer til din SSL.com-konto? Tjek disse sider: 

Twitter
Facebook
LinkedIn
Reddit
E-mail

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.