Mit Wirkung zum 1. Juni 2023 hat SSL.com seine Schlüsselspeicherprotokolle für Code Signing-Zertifikate aktualisiert, um den neuen Richtlinien des Certificate Authority/Browser (CA/B) Forums zu entsprechen. Jetzt müssen private Schlüssel in verschlüsselten USB-Tokens, FIPS-konformen Hardware-Sicherheitsmodulen (HSM) vor Ort oder über Cloud-basierte HSM-Dienste gesichert werden. Unter den unterstützten Cloud-HSM-Optionen sticht Microsoft Azure Key Vault (Premium Tier) als robuste Wahl für die Speicherung privater Schlüssel und die Generierung von Zertifikatsignieranforderungen hervor (CSRs).
Wenn Sie bei SSL.com ein Signaturzertifikat beantragen, umfasst der Prozess das Generieren einer Zertifikatsignieranforderung (CSR), das als formelle Aufforderung an SSL.com dient, Ihre Identität zu validieren und an ein Signaturzertifikat zu binden. In den folgenden Abschnitten wird gezeigt, wie Sie ein CSR in Azure Key Vault (Premium-Stufe).
Voraussetzungen:
- Ein Azure Key Vault (Premium-Stufe). Die Azure Key Vault-Dienstebene, die für diesen Prozess verwendet werden sollte, ist Premium weil es FIPS 140-2 Level 3-validiert ist.
- Anweisungen zum Erstellen eines Azure Key Vault finden Sie im nächsten Abschnitt: Erstellen eines Azure Key Vault.
- Wenn Sie bereits über einen vorhandenen Azure Key Vault verfügen, fahren Sie mit dem anderen Abschnitt fort: Generieren Sie eine Zertifikatsignieranforderung in Azure Key Vault.
- Eine Signaturzertifikatsbestellung von SSL.com.
Eine vollständige Liste der Cloud-HSMs, die SSL.com für die Codesignierung unterstützt, finden Sie in diesem Artikel: Unterstützte Cloud-HSMs für das Signieren von Dokumenten und Code.
Erstellen eines Azure Key Vault
- Melden Sie sich in der Azure-Portal.
- Klicken Sie Erstellen Sie eine Ressource.
- Blättern Sie zu Schlüsseldepot Und klicken Sie auf die Erstellen Link.
- Unter dem Grundlagen Führen Sie die folgenden Schritte aus.
- Auswählen des Abonnements und der Ressourcengruppe. Bei Bedarf können Sie eine neue Ressourcengruppe erstellen, indem Sie auf Neues.
- Vergeben Sie einen Namen und eine Region. Geben Sie Ihrem Schlüsseltresor einen Namen und wählen Sie eine Region aus.
- Entscheiden Sie sich für die Premium-PreisstufeUm dem FIPS 140-2-Standard zu entsprechen, wählen Sie die Preisstufe „Premium“.
- Konfigurieren der Wiederherstellungsoptionen. Legen Sie die Wiederherstellungsoptionen für Ihren Schlüsseltresor fest, einschließlich Löschschutz und Aufbewahrungsfrist für gelöschte Tresore.
- Klicken Sie auf die Next Taste, um zum zu gelangen Greifen Sie auf die Konfigurationseinstellungen zu .
- Klicken Sie Zugangskonfiguration. Legen Sie die Zugriffsrichtlinien für Ihren Schlüsseldepot fest.
- Klicken Sie Networking mit anderen Teilnehmern. Wählen Sie eine Konnektivitätsmethode für Ihren Schlüsseldepot.
- Klicken Sie Schlüsselwörter. Falls gewünscht, erstellen Sie Tags für Ihren Key Vault.
- Weiter zu Überprüfen + erstellen. Bewertung Ihre Einstellungen und klicken Sie dann auf die Schaltfläche „Erstellen“, um Ihren neuen Schlüsseltresor zu erstellen.
- Azure erstellt dann Ihren neuen Key Vault. Sobald er fertig ist, können Sie darauf zugreifen, indem Sie auf das Gehen Sie zur Ressource .
Generieren einer Zertifikatsignieranforderung in Azure Key Vault
- Wählen Sie Ihren Schlüsseltresor aus und klicken Sie auf Zertifikate.
- Klicken Sie auf die Generieren / Importieren Taste zum Öffnen der Erstellen Sie ein Zertifikat Fenster.
- Erfüllen Sie folgende Aufgaben:
- Methode zur Zertifikatserstellung: Wählen Sie „Generieren“ aus.
- Zertifikatname: Geben Sie einen eindeutigen Namen für Ihr Zertifikat ein.
- Art der Zertifizierungsstelle (CA): Wählen Sie „Von einer nicht integrierten Zertifizierungsstelle ausgestelltes Zertifikat.“
- Thema: Geben Sie den X.509 Distinguished Name für Ihr Zertifikat an.
- Gültigkeitsdauer: Sie können die Standardeinstellung von 12 Monaten beibehalten. Bei Code Signing-Zertifikaten mit längerer Gültigkeitsdauer entspricht das ausgestellte Zertifikat Ihrer Bestellung, nicht dem CSR.
- Inhaltstyp: Wählen Sie „PEM“.
- Lebenslanger Aktionstyp: Konfigurieren Sie Azure so, dass E-Mail-Benachrichtigungen basierend auf einem bestimmten Prozentsatz der Zertifikatslebensdauer oder einer bestimmten Anzahl von Tagen vor dem Ablauf gesendet werden.
- Erweiterte Richtlinienkonfiguration. Klicken Sie auf „Erweiterte Richtlinienkonfiguration“, um Schlüsselgröße, Schlüsseltyp und Richtlinien für die Wiederverwendung und Exportierbarkeit von Schlüsseln festzulegen.
- Für Zertifikate, die von SSL.com ausgestellt wurden, können Sie Erweiterte Schlüsselverwendungen (EKUs), X.509-Schlüsselverwendungs-Flags und Zertifikatstransparenz aktivieren auf ihren Standardwerten.
- Schlüssel bei Erneuerung wiederverwenden? Wählen Sie Nr.
- Exportierbarer privater Schlüssel? Wählen Sie Nr.
- Schlüsselart. Wählen RSA+HSM
- Schlüsselgröße. Für ein Code Signing Zertifikat können Sie nur zwischen 3072 oder 4096 wählen.
- Wenn Sie mit der Einrichtung der erweiterten Richtlinienkonfiguration fertig sind, klicken Sie auf das OK Taste, gefolgt von Erstellen.
- Auf dem Zertifikate Suchen Sie Ihr Zertifikat in der Liste der in Bearbeitung, fehlgeschlagen oder abgebrochen Zertifikate und klicken Sie darauf.
- Klicken Sie Zertifikatbetrieb.
- Klicken Sie Herunterladen CSR und speichern Sie die Datei an einem sicheren Ort.