SSL.com unterstützt derzeit AWS CloudHSM, Azure dediziertes HSM und Google Cloud-HSM für die Ausgabe von Adobe-vertrauenswürdigen Zertifikatsignaturzertifikate, IV/OV-Codesignaturzertifikate und EV-Codesignaturzertifikate. Alle diese Cloud-HSM-Dienste bieten FIPS 140-2 Level 3-validierte HSM-Hardware zum Generieren und Speichern von Verschlüsselungsschlüsseln. Dieses Handbuch bietet einen Überblick über die Schlüsselgenerierung, -bescheinigung und -zertifikatbestellung für diese Cloud-HSM-Plattformen sowie Preisinformationen für Zertifikate, die auf Cloud-HSMs installiert sind.
Bevor SSL.com Code-Signatur- oder von Adobe vertrauenswürdige Dokumentsignaturzertifikate signieren und ausstellen kann, müssen wir zunächst den Nachweis einholen, dass der private Signaturschlüssel des Kunden von einem nach FIPS 140-2 Level 2 (oder höher) zertifizierten Gerät generiert und sicher gespeichert wurde Gerät, von dem es nicht exportiert werden kann. Der Nachweis, dass ein privater Schlüssel diese Anforderungen erfüllt, wird als bezeichnet Bescheinigung. Die genauen Verfahren für die Bestätigung privater Schlüssel variieren zwischen Geräten und Cloud-Computing-Plattformen.
CloudHSM von Amazon Web Services (AWS)
Amazon Web Services (AWS) CloudHSM Der Dienst bietet derzeit keine Möglichkeit, mit der SSL.com die Bescheinigung der auf dem HSM generierten Schlüssel automatisieren kann. Aus diesem Grund benötigen wir eine aus der Ferne beobachtete Zeremonie zur Schlüsselpaargenerierung, bevor wir Dokumentsignatur- und Code-Signing-Zertifikate für die Installation auf AWS CloudHSM ausstellen können. Für dieses Fernbezeugungsverfahren wird eine zusätzliche Gebühr für die Zeit erhoben, die die Mitarbeiter von SSL.com für die Zeremonie aufwenden.
Während der Zeremonie beobachten die Mitarbeiter von SSL.com die Generierung eines oder mehrerer kryptografischer Schlüsselpaare mit nicht exportierbaren privaten Schlüsseln auf einer CloudHSM-Instanz über eine Videokonferenzsoftware. Nach der Zeremonie kann der Kunde eine Zertifikatsignierungsanforderung einreichen (CSR) zur Unterzeichnung und Ausstellung durch SSL.com. Bitte beziehen Sie sich auf Amazon AWS CloudHSM-Dokumentation for CSR Generierungsanweisungen.
Die Gebühr von SSL.com für Schlüsselgenerierungszeremonien in AWS CloudHSM beträgt 1200.00 USD.
Microsoft Azure dediziertes HSM
Microsoft's Azure dediziertes HSM Der Dienst verwendet das SafeNet Luna Network HSM 7 Modell A790 HSM. Die Luna cmu Das Befehlszeilentool kann verwendet werden, um ein kryptografisches Schlüsselpaar und eine Zertifikatsignierungsanforderung zu generieren (CSR) zum Signieren von Dokumenten oder zum Signieren von Code, zusammen mit Informationen, die SSL.com für die Bescheinigung benötigt. Bitte beziehen Sie sich auf Thales' Dokumentation zum Certificate Management Utility (CMU) Ausführliche Anweisungen zum Arbeiten mit dem cmu Dienstprogramm.
Wenn Sie Ihr Schlüsselpaar mit dem generieren cmu generiere ein Paar Stellen Sie sicher, dass der private Schlüssel nicht extrahierbar ist (die Standardeinstellung ist nicht extrahierbar). Sie sollten Ihre generieren CSR mit dem cmu Anforderungszertifikat Befehl.
Nach dem Generieren Ihres Schlüsselpaars und CSRFordern Sie eine PKC-Datei (Public Key Confirmation) für die neuen Schlüssel mit dem an cmu getpkc Befehl. Diese Datei kann von SSL.com verwendet werden, um zu bestätigen, dass das Schlüsselpaar auf kompatibler Hardware generiert wurde und der private Schlüssel nicht exportiert werden kann.
Nachdem Sie Ihr Schlüsselpaar generiert haben, CSRund PKC-Datei können Sie die senden CSR und PKC an SSL.com zur Validierung und Signatur.
Die Gebühr von SSL.com für die Bestätigung von Azure Dedicated HSM PKC beträgt 500.00 USD.
- Azure Dedicated HSM, für das SSL.com Remote-Bestätigungsdienste bereitstellen kann. Bringen Sie Ihren eigenen Wirtschaftsprüfer mit (BYOA) kann auch für Azure Dedicated HSM-Dienste anstelle der bereitgestellten SSL.com-Bestätigung verwendet werden.
- Azure Key Vault Managed HSM, das keine Remote-Beglaubigung vorsieht und wir derzeit nicht direkt als Zertifizierungsstelle auf konforme Weise beglaubigen können. Obwohl wir die Verwendung von Azure Key Vault Managed HSM akzeptieren, muss die konforme Schlüsselgenerierung geprüft und in einem Schreiben von einem zertifizierten Sicherheitsexperten bestätigt werden, das im ausführlich beschrieben wird BYOA-Prozess.
Wenn in der Organisation kein zertifizierter Sicherheitsbeauftragter vorhanden ist, können externe Beglaubigungsdienstleister damit beauftragt werden. Hier ist ein Beispiel: https://spearit.net/services/remote-key-attestation
Google Cloud-HSM
Google Cloud-HSM Der Dienst verwendet von Marvell (ehemals Cavium) hergestellte Geräte, die signierte Bescheinigungserklärungen für kryptografische Schlüssel erstellen können, die SSL.com überprüfen kann, bevor Dokumentsignatur- oder Code-Signaturzertifikate ausgestellt werden. Bitte beziehen Sie sich auf Google Dokumentation zum Cloud Key Management bei der Erstellung Ihres Schlüsselpaars und Ihrer Attestierungserklärung:
Nachdem Sie Ihr Schlüsselpaar generiert haben, CSRSie können sie zur Validierung und Unterzeichnung an SSL.com senden. GitHub-Benutzer Mattes hat eine bereitgestellt Open-Source-Dienstprogramm zum Erstellen eines CSR und Signieren mit einem privaten Schlüssel von Google Cloud HSM.
Die Gebühr von SSL.com für die Google Cloud HSM-Bestätigung beträgt 500.00 USD.
Bringen Sie Ihren eigenen Auditor (BYOA)
Beglaubigungen können auch von anderen qualifizierten Personen durchgeführt werden, die über anerkannte Cybersicherheitszertifizierungen verfügen. Wir nennen dies „Bring Your Own Auditor“, wenn der Eigentümer des HSM andere Mittel zur Bestätigung der Schlüsselgenerierung als die Bestätigungsdienste von SSL.com verwendet.
Die BYOA-Option kann verwendet werden, um beliebige auszuführen Key Generation Ceremony (KGC) eines konformen HSM, selbst für diese HSMs bietet SSL.com keine Beglaubigungsdienste an.
BYOA erfordert eine gründliche Vorbereitung, da sonst ein erhebliches Risiko der Zurückweisung des generierten Schlüssels besteht. Dies könnte passieren, wenn das verwendete Gerät nicht konform ist, der Auditor nicht qualifiziert ist oder der Bericht des Auditors die Anforderungen des Prozesses nicht abdeckt. In einem solchen Fall muss die Zeremonie wiederholt werden, was zu zusätzlichen Kosten und Verzögerungen für den Kunden führt.
Um solche Szenarien zu vermeiden, kommunizieren der Kundensupport und/oder die Validierungsspezialisten von SSL.com vorab mit dem Kunden KGC Anleitung zu geben und Folgendes sicherzustellen:
- Der Auditor ist nach den unten beschriebenen Kriterien zugelassen
- Die Anforderungen an die Vorbereitung der Zeremonie sowie das Skript für die Zeremonie sind klar und werden gründlich befolgt, damit die KGC-Umgebung richtig vorbereitet ist
- Alle Einschränkungen und/oder BYOA-spezifischen Geschäftsbedingungen sind klar und werden vom Kunden akzeptiert
Einzelheiten zu den Anforderungen an externe Prüfer finden Sie hier.
Cloud HSM-Preisstufen
Für Zertifikate, die auf Cloud-HSM-Plattformen installiert sind, bietet SSL.com die folgenden Preisstufen an, basierend auf der maximalen Anzahl von Signierungen pro Jahr.
| Tier | Preis | Unterschriften pro Jahr |
| Freie Stufe | Preis des Basiszertifikats | 1,000 |
| Tier 1 | Grundpreis + $ 180.00 | 2,000 |
| Tier 2 | Grundpreis + $ 300.00 | 5,000 |
| Tier 3 | Grundpreis + $ 500.00 | 10,000 |
| Tier 4 | Kontaktieren Sie unseren Vertrieb | > 10,000 |
Cloud-HSM-Serviceanforderungsformular
Wenn Sie digitale Zertifikate für die Installation auf einer unterstützten Cloud-HSM-Plattform (AWS CloudHSM oder Azure Dedicated HSM) bestellen möchten, füllen Sie bitte das untenstehende Formular aus und senden Sie es ab. Nachdem wir Ihre Anfrage erhalten haben, wird sich ein Mitarbeiter von SSL.com mit Ihnen mit weiteren Einzelheiten zum Bestell- und Bescheinigungsprozess in Verbindung setzen.
Andere Cloud-HSM-Plattformen
SSL.com entwickelt und testet derzeit Verfahren für die Ausstellung von Dokumentsignaturzertifikaten auf einer breiten Palette von HSM-Diensten und -Hardware. Wenn Sie Interesse an der Bestellung von Zertifikaten für eine Plattform bekunden möchten, die wir noch nicht unterstützen, und Updates zu den von uns unterstützten HSMs erhalten möchten, füllen Sie bitte unser Formular aus HSM-Anfrageformular.
Benötigen Sie weitere Ressourcen für Ihr SSL.com-Konto? Schauen Sie sich diese Seiten an:
