SSL.com unterstützt derzeit AWS CloudHSM, Azure dediziertes HSM und Google Cloud-HSM für die Ausgabe von Adobe-vertrauenswürdigen Zertifikatsignaturzertifikate und EV-Codesignaturzertifikate. Alle diese Cloud-HSM-Dienste bieten FIPS 140-2 Level 3-validierte HSM-Hardware zum Generieren und Speichern von Verschlüsselungsschlüsseln. Dieses Handbuch bietet einen Überblick über die Schlüsselgenerierung, -bescheinigung und -zertifikatbestellung für diese Cloud-HSM-Plattformen sowie Preisinformationen für Zertifikate, die auf Cloud-HSMs installiert sind.
Bevor SSL.com EV-Codesignatur- oder Adobe-vertrauenswürdige Dokumentensignaturzertifikate signieren und ausstellen kann, müssen wir zunächst den Nachweis erbringen, dass der private Signaturschlüssel des Kunden von einem FIPS 140-2 Level 2 (oder höher) generiert wurde und sicher auf diesem gespeichert ist. zertifiziertes Gerät, von dem es nicht exportiert werden kann. Der Nachweis, dass ein privater Schlüssel diese Anforderungen erfüllt, wird als bezeichnet Bescheinigung. Die genauen Verfahren für die Bestätigung privater Schlüssel variieren zwischen Geräten und Cloud-Computing-Plattformen.
CloudHSM von Amazon Web Services (AWS)
Amazon Web Services (AWS) CloudHSM Der Dienst bietet derzeit keine Möglichkeit, mit der SSL.com die Bescheinigung von auf dem HSM generierten Schlüsseln automatisieren kann. Aus diesem Grund benötigen wir eine Zeremonie zur Generierung von Schlüsselpaaren aus der Ferne, bevor wir Zertifikatsignatur- und EV-Codesignaturzertifikate für die Installation in AWS CloudHSM ausstellen können. Für dieses Fernzeugen wird eine zusätzliche Gebühr für die Zeit erhoben, die SSL.com-Mitarbeiter für die Zeremonie aufgewendet haben.
Während der Zeremonie beobachten die Mitarbeiter von SSL.com die Generierung eines oder mehrerer kryptografischer Schlüsselpaare mit nicht exportierbaren privaten Schlüsseln auf einer CloudHSM-Instanz über eine Videokonferenzsoftware. Nach der Zeremonie kann der Kunde eine Zertifikatsignierungsanforderung einreichen (CSR) zur Unterzeichnung und Ausstellung durch SSL.com. Bitte beziehen Sie sich auf Amazon AWS CloudHSM-Dokumentation aufgrund CSR Generierungsanweisungen.
Die Gebühr von SSL.com für Schlüsselgenerierungszeremonien in AWS CloudHSM beträgt 1200.00 USD.
Microsoft Azure dediziertes HSM
Microsoft's Azure dediziertes HSM Der Dienst verwendet das SafeNet Luna Network HSM 7 Modell A790 HSM. Die Luna cmu Das Befehlszeilentool kann verwendet werden, um ein kryptografisches Schlüsselpaar und eine Zertifikatsignierungsanforderung zu generieren (CSR) für die Signatur von Dokumenten oder EV-Codes sowie Informationen, die SSL.com für die Bescheinigung benötigt. Bitte beziehen Sie sich auf Thales ' Dokumentation zum Certificate Management Utility (CMU) Ausführliche Anweisungen zum Arbeiten mit dem cmu Dienstprogramm.
Wenn Sie Ihr Schlüsselpaar mit dem generieren cmu generiere ein Paar Stellen Sie sicher, dass der private Schlüssel nicht extrahierbar ist (die Standardeinstellung ist nicht extrahierbar). Sie sollten Ihre generieren CSR mit dem cmu Anforderungszertifikat Befehl.
Nach dem Generieren Ihres Schlüsselpaars und CSRFordern Sie eine PKC-Datei (Public Key Confirmation) für die neuen Schlüssel mit dem an cmu getpkc Befehl. Diese Datei kann von SSL.com verwendet werden, um zu bestätigen, dass das Schlüsselpaar auf kompatibler Hardware generiert wurde und der private Schlüssel nicht exportiert werden kann.
Nachdem Sie Ihr Schlüsselpaar generiert haben, CSRund PKC-Datei können Sie die senden CSR und PKC an SSL.com zur Validierung und Signatur.
Die Gebühr von SSL.com für die Bestätigung von Azure Dedicated HSM PKC beträgt 500.00 USD.
Google Cloud-HSM
Google Cloud-HSM Der Dienst verwendet Geräte von Marvell (ehemals Cavium), die signierte Bestätigungsanweisungen für kryptografische Schlüssel erstellen können, die SSL.com überprüfen kann, bevor Dokumente signiert oder EV-Codesignaturzertifikate ausgestellt werden. Bitte beziehen Sie sich auf Google Dokumentation zum Cloud Key Management bei der Erstellung Ihres Schlüsselpaars und Ihrer Attestierungserklärung:
Nachdem Sie Ihr Schlüsselpaar generiert haben, CSRSie können sie zur Validierung und Unterzeichnung an SSL.com senden. GitHub-Benutzer Mattes hat eine bereitgestellt Open-Source-Dienstprogramm zum Erstellen eines CSR und Signieren mit einem privaten Schlüssel von Google Cloud HSM.
Die Gebühr von SSL.com für die Google Cloud HSM-Bestätigung beträgt 500.00 USD.
Bringen Sie Ihren eigenen Auditor (BYOA)
BYOA ist für Clients eine gültige Alternative, erfordert jedoch eine gründliche Vorbereitung, da ansonsten ein erhebliches Risiko der Ablehnung des generierten Schlüssels besteht. Dies kann passieren, wenn das verwendete Gerät nicht konform ist, der Auditor nicht qualifiziert ist oder der Bericht des Auditors die Anforderungen des Prozesses nicht abdeckt. In einem solchen Fall müssen die Zeremonie und deren Bezeugung wiederholt werden, was zusätzliche Kosten und Verzögerungen für den Auftraggeber verursacht.
Um solche Szenarien zu vermeiden, kommunizieren der Kundensupport und/oder die Validierungsspezialisten von SSL.com vor dem KGC mit dem Kunden, um Anleitung zu geben und Folgendes sicherzustellen:
- Der Auditor ist nach den unten beschriebenen Kriterien zugelassen
- Die Anforderungen an die Zeremonienvorbereitung sowie das Zeremonienskript sind klar und werden genau befolgt, damit die KGC-Umgebung gut vorbereitet ist
- Alle Einschränkungen und/oder BYOA-spezifischen Geschäftsbedingungen sind klar und werden vom Kunden akzeptiert
Cloud HSM-Preisstufen
Für Zertifikate, die auf Cloud-HSM-Plattformen installiert sind, bietet SSL.com die folgenden Preisstufen an, basierend auf der maximalen Anzahl von Signierungen pro Jahr.
| Tier | Preis | Unterschriften pro Jahr |
| Freie Stufe | Preis des Basiszertifikats | 1,000 |
| Tier 1 | Grundpreis + $ 180.00 | 2,000 |
| Tier 2 | Grundpreis + $ 300.00 | 5,000 |
| Tier 3 | Grundpreis + $ 500.00 | 10,000 |
| Tier 4 | Kontaktieren Sie unseren Vertrieb | > 10,000 |
Cloud-HSM-Serviceanforderungsformular
Wenn Sie digitale Zertifikate für die Installation auf einer unterstützten Cloud-HSM-Plattform (AWS CloudHSM oder Azure Dedicated HSM) bestellen möchten, füllen Sie bitte das folgende Formular aus und senden Sie es ab. Nachdem wir Ihre Anfrage erhalten haben, wird sich ein Mitarbeiter von SSL.com mit Ihnen in Verbindung setzen, um weitere Informationen zum Bestell- und Bescheinigungsprozess zu erhalten.
Andere Cloud-HSM-Plattformen
SSL.com entwickelt und testet derzeit Verfahren für die Ausstellung von Dokumentensignaturzertifikaten für eine Vielzahl von HSM-Diensten und -Hardware. Wenn Sie Interesse an der Bestellung von Zertifikaten für eine Plattform bekunden möchten, die wir noch nicht unterstützen, und Updates zu den von uns unterstützten HSMs erhalten möchten, füllen Sie bitte unsere aus HSM-Anfrageformular.
Benötigen Sie weitere Ressourcen für Ihr SSL.com-Konto? Schauen Sie sich diese Seiten an:
