Generieren einer Zertifikatsignieranforderung in Azure Key Vault

Mit Wirkung zum 1. Juni 2023 hat SSL.com seine Schlüsselspeicherprotokolle für Code Signing-Zertifikate aktualisiert, um den neuen Richtlinien des Certificate Authority/Browser (CA/B) Forums zu entsprechen. Jetzt müssen private Schlüssel in verschlüsselten USB-Tokens, FIPS-konformen Hardware-Sicherheitsmodulen (HSM) vor Ort oder über Cloud-basierte HSM-Dienste gesichert werden. Unter den unterstützten Cloud-HSM-Optionen sticht Microsoft Azure Key Vault (Premium Tier) als robuste Wahl für die Speicherung privater Schlüssel und die Generierung von Zertifikatsignieranforderungen hervor (CSRs). 

Wenn Sie bei SSL.com ein Signaturzertifikat beantragen, umfasst der Prozess das Generieren einer Zertifikatsignieranforderung (CSR), das als formelle Aufforderung an SSL.com dient, Ihre Identität zu validieren und an ein Signaturzertifikat zu binden. In den folgenden Abschnitten wird gezeigt, wie Sie ein CSR in Azure Key Vault (Premium-Stufe).

Voraussetzungen:

  1.  Ein Azure Key Vault (Premium-Stufe). Die Azure Key Vault-Dienstebene, die für diesen Prozess verwendet werden sollte, ist Premium weil es FIPS 140-2 Level 3-validiert ist.
    1. Anweisungen zum Erstellen eines Azure Key Vault finden Sie im nächsten Abschnitt: Erstellen eines Azure Key Vault.
    2. Wenn Sie bereits über einen vorhandenen Azure Key Vault verfügen, fahren Sie mit dem anderen Abschnitt fort: Generieren Sie eine Zertifikatsignieranforderung in Azure Key Vault.
  2. Eine Signaturzertifikatsbestellung von SSL.com. 
Eine vollständige Liste der Cloud-HSMs, die SSL.com für die Codesignierung unterstützt, finden Sie in diesem Artikel: Unterstützte Cloud-HSMs für das Signieren von Dokumenten und Code.

Erstellen eines Azure Key Vault

  1. Melden Sie sich in der Azure-Portal.

  2. Klicken Sie auf Erstellen Sie eine Ressource.
  3. Blättern Sie zu Schlüsseldepot Und klicken Sie auf die Erstellen Link.

  4. Unter dem Grundlagen Führen Sie die folgenden Schritte aus.
    1. Auswählen des Abonnements und der Ressourcengruppe. Bei Bedarf können Sie eine neue Ressourcengruppe erstellen, indem Sie auf Neues.
    2. Vergeben Sie einen Namen und eine Region. Geben Sie Ihrem Schlüsseltresor einen Namen und wählen Sie eine Region aus.
    3. Entscheiden Sie sich für die Premium-PreisstufeUm dem FIPS 140-2-Standard zu entsprechen, wählen Sie die Preisstufe „Premium“.
    4. Konfigurieren der Wiederherstellungsoptionen. Legen Sie die Wiederherstellungsoptionen für Ihren Schlüsseltresor fest, einschließlich Löschschutz und Aufbewahrungsfrist für gelöschte Tresore.
    5. Klicken Sie auf die Next Taste, um zum zu gelangen Greifen Sie auf die Konfigurationseinstellungen zu .

  5. Klicken Sie auf Zugangskonfiguration. Legen Sie die Zugriffsrichtlinien für Ihren Schlüsseldepot fest.
  6. Klicken Sie auf Networking mit anderen Teilnehmern. Wählen Sie eine Konnektivitätsmethode für Ihren Schlüsseldepot.
  7. Klicken Sie auf Schlüsselwörter. Falls gewünscht, erstellen Sie Tags für Ihren Key Vault.

  8. Weiter zu Überprüfen + erstellen. Bewertung Ihre Einstellungen und klicken Sie dann auf die Schaltfläche „Erstellen“, um Ihren neuen Schlüsseltresor zu erstellen.

  9. Azure erstellt dann Ihren neuen Key Vault. Sobald er fertig ist, können Sie darauf zugreifen, indem Sie auf das Gehen Sie zur Ressource .

Generieren einer Zertifikatsignieranforderung in Azure Key Vault

  1. Wählen Sie Ihren Schlüsseltresor aus und klicken Sie auf Zertifikate.

  2. Klicken Sie auf die Generieren / Importieren Taste zum Öffnen der Erstellen Sie ein Zertifikat Fenster.

  3. Erfüllen Sie folgende Aufgaben:
    1. Methode zur Zertifikatserstellung: Wählen Sie „Generieren“ aus.
    2. Zertifikatname: Geben Sie einen eindeutigen Namen für Ihr Zertifikat ein.
    3. Art der Zertifizierungsstelle (CA): Wählen Sie „Von einer nicht integrierten Zertifizierungsstelle ausgestelltes Zertifikat.“
    4. Thema: Geben Sie den X.509 Distinguished Name für Ihr Zertifikat an.
    5. Gültigkeitsdauer: Sie können die Standardeinstellung von 12 Monaten beibehalten. Bei Code Signing-Zertifikaten mit längerer Gültigkeitsdauer entspricht das ausgestellte Zertifikat Ihrer Bestellung, nicht dem CSR.
    6. Inhaltstyp: Wählen Sie „PEM“.
    7. Lebenslanger Aktionstyp: Konfigurieren Sie Azure so, dass E-Mail-Benachrichtigungen basierend auf einem bestimmten Prozentsatz der Zertifikatslebensdauer oder einer bestimmten Anzahl von Tagen vor dem Ablauf gesendet werden.
  4. Erweiterte Richtlinienkonfiguration. Klicken Sie auf „Erweiterte Richtlinienkonfiguration“, um Schlüsselgröße, Schlüsseltyp und Richtlinien für die Wiederverwendung und Exportierbarkeit von Schlüsseln festzulegen.
    1. Für Zertifikate, die von SSL.com ausgestellt wurden, können Sie Erweiterte Schlüsselverwendungen (EKUs), X.509-Schlüsselverwendungs-Flags und Zertifikatstransparenz aktivieren auf ihren Standardwerten.
    2. Schlüssel bei Erneuerung wiederverwenden? Wählen Sie Nr.
    3. Exportierbarer privater Schlüssel? Wählen Sie Nr.
    4. Schlüsselart. Wählen RSA+HSM
    5. Schlüsselgröße. Für ein Code Signing Zertifikat können Sie nur zwischen 3072 oder 4096 wählen.

  5.  Wenn Sie mit der Einrichtung der erweiterten Richtlinienkonfiguration fertig sind, klicken Sie auf das OK Taste, gefolgt von Erstellen.

  6. Auf dem Zertifikate Suchen Sie Ihr Zertifikat in der Liste der in Bearbeitung, fehlgeschlagen oder abgebrochen Zertifikate und klicken Sie darauf.
  7. Klicken Sie auf Zertifikatbetrieb.

  8. Klicken Sie auf Herunterladen CSR und speichern Sie die Datei an einem sicheren Ort.

Senden Sie die Zertifikatsignieranforderung (CSR) zu SSL.com 

Das heruntergeladene CSR file will be submitted to the SSL.com agent assigned to the subscriber. Zusammen mit CSR file, the subscriber must also submit the Auditor Attestation Form. The template for the form can be downloaded from this article: Bring Your Own Auditor (BYOA)-Leitfaden zur Bescheinigung der Generierung privater Schlüssel. After this, the process will proceed to verification of the documents submitted. The SSL.com agent assigned to the subscriber will provide updates up until the signing certificate is ready for issuance.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.