Υποστηριζόμενα Cloud HSM για υπογραφή εγγράφων και υπογραφή κώδικα

Το SSL.com υποστηρίζει αυτήν τη στιγμή AWS CloudHSM, Azure Αφιερωμένο HSM, να Google Cloud HSM για έκδοση αξιόπιστων από την Adobe πιστοποιητικά υπογραφής εγγράφου, Πιστοποιητικά υπογραφής κωδικού IV/OV, να Πιστοποιητικά υπογραφής κωδικού EV. Όλες αυτές οι υπηρεσίες cloud HSM παρέχουν επικυρωμένο υλικό HSM FIPS 140-2 Επίπεδο 3 για τη δημιουργία και αποθήκευση κλειδιών κρυπτογράφησης. Αυτός ο οδηγός παρέχει μια επισκόπηση της δημιουργίας κλειδιών, της βεβαίωσης και της παραγγελίας πιστοποιητικών για αυτές τις πλατφόρμες cloud HSM και περιλαμβάνει πληροφορίες τιμολόγησης για πιστοποιητικά εγκατεστημένα σε cloud HSMs.

Τι είναι η βεβαίωση;
Για να μπορέσει το SSL.com να υπογράψει και να εκδώσει πιστοποιητικά υπογραφής κώδικα ή αξιόπιστα από την Adobe πιστοποιητικά υπογραφής εγγράφων, πρέπει πρώτα να λάβουμε απόδειξη ότι το ιδιωτικό κλειδί υπογραφής του πελάτη έχει δημιουργηθεί από και έχει αποθηκευτεί με ασφάλεια σε πιστοποιητικό FIPS 140-2 Επίπεδο 2 (ή μεγαλύτερο). συσκευή, από την οποία δεν είναι δυνατή η εξαγωγή. Η πράξη της απόδειξης ότι ένα ιδιωτικό κλειδί πληροί αυτές τις απαιτήσεις είναι γνωστή ως επιβεβαίωση. Οι ακριβείς διαδικασίες για την πιστοποίηση ιδιωτικού κλειδιού διαφέρουν μεταξύ συσκευών και πλατφορμών υπολογιστικού νέφους

Υπηρεσίες Ιστού Amazon (AWS) CloudHSM

Amazon Web Services (AWS) CloudHSM Η υπηρεσία δεν παρέχει επί του παρόντος κανένα μέσο με το οποίο το SSL.com μπορεί να αυτοματοποιήσει την πιστοποίηση των κλειδιών που δημιουργούνται στο HSM. Για αυτόν τον λόγο, απαιτούμε μια τελετή δημιουργίας ζεύγους κλειδιών με απομακρυσμένη μάρτυρα για να μπορέσουμε να εκδόσουμε πιστοποιητικά υπογραφής εγγράφων και υπογραφής κώδικα για εγκατάσταση στο AWS CloudHSM. Αυτή η διαδικασία απομακρυσμένης μαρτυρίας θα επιβαρύνεται με επιπλέον χρέωση για το χρόνο που αφιερώνει το προσωπικό του SSL.com στην τελετή.

Κατά τη διάρκεια της τελετής, το προσωπικό του SSL.com θα παρατηρήσει τη δημιουργία ενός ή περισσότερων ζευγών κρυπτογραφικών κλειδιών με ιδιωτικά κλειδιά που δεν μπορούν να εξαχθούν σε μια παρουσία CloudHSM μέσω λογισμικού τηλεδιάσκεψης. Μετά την τελετή, ο πελάτης μπορεί να υποβάλει αίτηση υπογραφής πιστοποιητικού (CSR) για υπογραφή και έκδοση από το SSL.com. Ανατρέξτε στο Amazon Τεκμηρίωση AWS CloudHSM για CSR οδηγίες παραγωγής.

Η χρέωση του SSL.com για τελετές δημιουργίας κλειδιών στο AWS CloudHSM είναι 1200.00 USD.

Λύσεις διαχείρισης κλειδιών Microsoft Azure

Υπάρχουν τρεις τύποι λύσεων διαχείρισης κλειδιών Azure που μπορεί να χρησιμοποιήσει το SSL.com για την υπογραφή πιστοποιητικών:

  • Azure Key Vault (Premium Tier) και Azure Key Vault Διαχειριζόμενο HSM τα οποία δεν παρέχουν απομακρυσμένη βεβαίωση και δεν μπορούμε επί του παρόντος να το επιβεβαιώσουμε απευθείας ως ΑΠ με ​​συμμορφούμενο τρόπο. Ενώ αποδεχόμαστε τη χρήση του Azure Key Vault Managed HSM, η συμβατή δημιουργία κλειδιών πρέπει να ελεγχθεί και να πιστοποιηθεί σε επιστολή από πιστοποιημένο επαγγελματία ασφαλείας, η οποία περιγράφεται λεπτομερώς στο Διαδικασία BYOA.
  • Azure Αφιερωμένο HSM για τις οποίες το SSL.com μπορεί να παρέχει υπηρεσίες απομακρυσμένης βεβαίωσης. Φέρτε τον δικό σας ελεγκτή (BYOA) μπορεί επίσης να χρησιμοποιηθεί για υπηρεσίες Azure Key Vault και Azure Dedicated HSM αντί της βεβαίωσης SSL.com που παρέχεται.

Εάν δεν υπάρχει πιστοποιημένος υπάλληλος ασφαλείας στον οργανισμό, υπάρχουν εξωτερικοί πάροχοι υπηρεσιών βεβαίωσης που μπορούν να δεσμευτούν για να το κάνουν. Εδώ είναι ένα παράδειγμα: https://spearit.net/services/remote-key-attestation

Η Microsoft Azure Αφιερωμένο HSM Η υπηρεσία χρησιμοποιεί το SafeNet Luna Network HSM 7 Model A790 HSM. Η Λούνα cmu Το εργαλείο γραμμής εντολών μπορεί να χρησιμοποιηθεί για τη δημιουργία ζεύγους κρυπτογραφικών κλειδιών και αιτήματος υπογραφής πιστοποιητικού (CSR) για υπογραφή εγγράφων ή υπογραφή κωδικού, μαζί με πληροφορίες που απαιτούνται από το SSL.com για βεβαίωση. Ανατρέξτε στο Thales' Τεκμηρίωση βοηθητικού προγράμματος διαχείρισης πιστοποιητικών (CMU) για πλήρεις οδηγίες σχετικά με την εργασία με το cmu χρησιμότητα.

Κατά τη δημιουργία του ζεύγους κλειδιών σας με το cmu createkeypair βοηθητικό πρόγραμμα, βεβαιωθείτε ότι το ιδιωτικό κλειδί δεν μπορεί να εξαχθεί (η προεπιλεγμένη ρύθμιση δεν μπορεί να εξαχθεί). Πρέπει να δημιουργήσετε το δικό σας CSR με cmu πιστοποιητικό αίτησης εντολή.

Αφού δημιουργήσετε το ζεύγος κλειδιών σας και CSR, ζητήστε ένα αρχείο επιβεβαίωσης δημόσιου κλειδιού (PKC) για τα νέα κλειδιά με το cmu getpkc εντολή. Αυτό το αρχείο μπορεί να χρησιμοποιηθεί από το SSL.com για να επιβεβαιώσει ότι το ζεύγος κλειδιών δημιουργήθηκε σε συμβατό υλικό και ότι το ιδιωτικό κλειδί δεν μπορεί να εξαχθεί.

Αφού δημιουργήσετε το ζεύγος κλειδιών σας, CSR, και το αρχείο PKC, μπορείτε να υποβάλετε το CSR και PKC στο SSL.com για επικύρωση και υπογραφή.

Η χρέωση του SSL.com για την επιβεβαίωση Azure Dedicated HSM PKC είναι 500.00 USD.

Google Cloud HSM

Της Google Cloud HSM Η υπηρεσία χρησιμοποιεί συσκευές που κατασκευάζονται από τη Marvell (πρώην Cavium), οι οποίες μπορούν να παράγουν υπογεγραμμένες δηλώσεις βεβαίωσης για κρυπτογραφικά κλειδιά που μπορεί να επαληθεύσει το SSL.com πριν από την έκδοση πιστοποιητικών υπογραφής εγγράφων ή υπογραφής κώδικα. Ανατρέξτε στο Google Τεκμηρίωση διαχείρισης κλειδιών Cloud κατά τη δημιουργία του ζεύγους κλειδιών και της δήλωσης βεβαίωσης

Αφού δημιουργήσετε το ζεύγος κλειδιών σας, CSR, και δήλωση βεβαίωσης, μπορείτε να τα υποβάλετε στο SSL.com για επικύρωση και υπογραφή. Χρήστης του GitHub ματ έχει παράσχει ένα βοηθητικό πρόγραμμα ανοιχτού κώδικα για τη δημιουργία ενός CSR και την υπογραφή με ένα ιδιωτικό κλειδί από το Google Cloud HSM.

Η χρέωση του SSL.com για τη βεβαίωση Google Cloud HSM είναι 500.00 $ USD.

Φέρτε τον δικό σας ελεγκτή (BYOA)

Οι βεβαιώσεις μπορούν επίσης να πραγματοποιηθούν από άλλα πιστοποιημένα άτομα που διαθέτουν αναγνωρισμένες πιστοποιήσεις κυβερνοασφάλειας. Αυτό το ονομάζουμε "Φέρτε τον δικό σας ελεγκτή" όταν ο ιδιοκτήτης του HSM χρησιμοποιεί μέσα για τη βεβαίωση δημιουργίας κλειδιών εκτός από τη χρήση των υπηρεσιών πιστοποίησης του SSL.com. 

Η επιλογή BYOA μπορεί να χρησιμοποιηθεί για να εκτελέσετε οποιαδήποτε Η Τελετή Δημιουργίας Κλειδιών (KGC) ενός συμβατού HSM, ακόμη και για αυτά τα HSM, το SSL.com δεν παρέχει υπηρεσίες βεβαίωσης. 

BYOA απαιτεί ενδελεχή προετοιμασία, διαφορετικά, υπάρχει σημαντικός κίνδυνος απόρριψης για το κλειδί που δημιουργείται. Αυτό μπορεί να συμβεί εάν η συσκευή που χρησιμοποιείται δεν είναι συμβατή, ο ελεγκτής δεν έχει τα προσόντα ή η έκθεση του ελεγκτή δεν καλύπτει τις απαιτήσεις της διαδικασίας. Σε μια τέτοια περίπτωση, η τελετή θα πρέπει να επαναληφθεί, με αποτέλεσμα πρόσθετο κόστος και καθυστερήσεις για τον πελάτη. 

Για την αποφυγή τέτοιων σεναρίων, οι ειδικοί υποστήριξης πελατών και/ή επικύρωσης του SSL.com επικοινωνούν με τον πελάτη πριν από την KGC να παρέχει καθοδήγηση και να διασφαλίζει τα ακόλουθα:

  • Ο ελεγκτής εγκρίνεται σύμφωνα με τα κριτήρια που περιγράφονται παρακάτω
  • Οι απαιτήσεις προετοιμασίας της τελετής, καθώς και το σενάριο της τελετής, είναι σαφείς και ακολουθούνται διεξοδικά, καθώς το περιβάλλον KGC είναι κατάλληλα προετοιμασμένο
  • Τυχόν περιορισμοί ή/και ειδικοί όροι και προϋποθέσεις του BYOA είναι σαφείς και αποδεκτοί από τον πελάτη

Λεπτομέρειες σχετικά με τις απαιτήσεις για εξωτερικούς ελεγκτές μπορείτε να βρείτε εδώ.

Επίπεδα τιμολόγησης Cloud HSM

Για πιστοποιητικά εγκατεστημένα σε πλατφόρμες cloud HSM, το SSL.com προσφέρει τα ακόλουθα επίπεδα τιμών, με βάση τον μέγιστο αριθμό υπογραφών ανά έτος.

Κερκίδα Τιμή Υπογραφές ανά έτος
Δωρεάν βαθμίδα Βασική τιμή πιστοποιητικού 1,000
Tier 1 Βασική τιμή + 180.00 $ 2,000
Tier 2 Βασική τιμή + 300.00 $ 5,000
Tier 3 Βασική τιμή + 500.00 $ 10,000
Tier 4 Επικοινωνία με τις Πωλήσεις > 10,000

Φόρμα αίτησης υπηρεσίας Cloud HSM

Εάν θέλετε να παραγγείλετε ψηφιακά πιστοποιητικά για εγκατάσταση σε μια υποστηριζόμενη πλατφόρμα cloud HSM (AWS CloudHSM ή Azure Dedicated HSM), συμπληρώστε και υποβάλετε την παρακάτω φόρμα. Αφού λάβουμε το αίτημά σας, ένα μέλος του προσωπικού του SSL.com θα επικοινωνήσει μαζί σας για περισσότερες λεπτομέρειες σχετικά με τη διαδικασία παραγγελίας και βεβαίωσης.

Άλλες πλατφόρμες Cloud HSM

Το SSL.com αυτή τη στιγμή αναπτύσσει και δοκιμάζει διαδικασίες για την έκδοση πιστοποιητικών υπογραφής εγγράφων σε ένα ευρύ φάσμα υπηρεσιών και υλικού HSM. Εάν θέλετε να εκδηλώσετε ενδιαφέρον να παραγγείλετε πιστοποιητικά για μια πλατφόρμα που δεν υποστηρίζουμε ακόμη και να λαμβάνετε ενημερώσεις για τα HSM που υποστηρίζουμε, συμπληρώστε μας Φόρμα έρευνας HSM.

Χρειάζεστε περισσότερους πόρους για τον λογαριασμό σας SSL.com; Ελέγξτε αυτές τις σελίδες: 

Twitter
Facebook
LinkedIn
Reddit
Email

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.