Από την 1η Ιουνίου 2023, το SSL.com ενημέρωσε τα πρωτόκολλα αποθήκευσης κλειδιών για πιστοποιητικά υπογραφής κώδικα ώστε να συμμορφώνονται με τις νέες οδηγίες που εκδίδονται από το Φόρουμ Αρχή Πιστοποιητικών/Προγραμματιστή (CA/B). Τώρα, τα ιδιωτικά κλειδιά πρέπει να ασφαλίζονται σε κρυπτογραφημένα κουπόνια USB, σε μονάδες ασφαλείας υλικού (HSM) που είναι συμβατές με το FIPS ή μέσω υπηρεσιών HSM που βασίζονται σε σύννεφο. Μεταξύ των υποστηριζόμενων επιλογών cloud HSM, το Microsoft Azure Key Vault (Premium Tier) ξεχωρίζει ως μια ισχυρή επιλογή για την αποθήκευση ιδιωτικών κλειδιών και τη δημιουργία αιτημάτων υπογραφής πιστοποιητικού (CSRμικρό).
Κατά την υποβολή αίτησης για πιστοποιητικό υπογραφής με το SSL.com, η διαδικασία περιλαμβάνει τη δημιουργία ενός αιτήματος υπογραφής πιστοποιητικού (CSR) που χρησιμεύει ως επίσημο αίτημα για το SSL.com να επικυρώσει και να δεσμεύσει την ταυτότητά σας σε ένα πιστοποιητικό υπογραφής. Οι ακόλουθες ενότητες δείχνουν πώς να δημιουργήσετε ένα CSR στο Azure Key Vault (Premium Tier).
Προϋποθέσεις
- An Azure Key Vault (Premium Tier). Το επίπεδο υπηρεσίας Azure Key Vault που θα πρέπει να χρησιμοποιηθεί για αυτήν τη διαδικασία είναι Ανώτερο επειδή είναι επικυρωμένο FIPS 140-2 Επίπεδο 3.
- Για οδηγίες σχετικά με τον τρόπο δημιουργίας ενός Azure Key Vault, ανατρέξτε στην επόμενη ενότητα: Δημιουργήστε ένα Azure Key Vault.
- Εάν έχετε ήδη ένα υπάρχον Azure Key Vault, προχωρήστε στην άλλη ενότητα: Δημιουργήστε ένα αίτημα υπογραφής πιστοποιητικού στο Azure Key Vault.
- Μια παραγγελία πιστοποιητικού υπογραφής από το SSL.com.
Για μια πλήρη λίστα των cloud HSM που υποστηρίζει το SSL.com για υπογραφή κώδικα, ανατρέξτε σε αυτό το άρθρο: Υποστηριζόμενα Cloud HSM για υπογραφή εγγράφων και υπογραφή κώδικα.
Δημιουργήστε ένα Azure Key Vault
- Συνδεθείτε στο Azure πύλη.
- Πατήστε Δημιουργήστε έναν πόρο.
- Μεταβείτε στην Θησαυροφυλάκιο κλειδιών Και κάντε κλικ στο Δημιουργία σύνδεσμο.
- Σύμφωνα με το Βασικά ενότητα, εκτελέστε τα ακόλουθα.
- Επιλέξτε τη συνδρομή και την ομάδα πόρων. Εάν χρειάζεται, μπορείτε να δημιουργήσετε μια νέα ομάδα πόρων κάνοντας κλικ Δημιουργία νέου.
- Εκχωρήστε ένα όνομα και μια περιοχή. Δώστε ένα όνομα για το Key Vault και επιλέξτε μια περιοχή.
- Επιλέξτε το επίπεδο τιμολόγησης Premium. Για να συμμορφωθείτε με το πρότυπο FIPS 140-2, επιλέξτε το επίπεδο τιμολόγησης "Premium".
- Διαμόρφωση επιλογών ανάκτησης. Ορίστε τις επιλογές ανάκτησης για το Key Vault, συμπεριλαμβανομένης της προστασίας εκκαθάρισης και της περιόδου διατήρησης για τα διαγραμμένα θησαυροφυλάκια.
- Κάντε κλικ στο Επόμενο κουμπί για να προχωρήσετε στο Πρόσβαση στις ρυθμίσεις διαμόρφωσης τμήμα.
- Πατήστε Διαμόρφωση πρόσβασης. Ορίστε τις πολιτικές πρόσβασης για το Key Vault.
- Πατήστε Δικτύωση. Επιλέξτε μια μέθοδο σύνδεσης για το Key Vault.
- Πατήστε Ετικέτες. Εάν θέλετε, δημιουργήστε ετικέτες για το Key Vault.
- Συνέχισε με την πρώτη παράγραφο, η οποία μπαίνει κατευθείαν στο θέμα και συνοψίζει το κεντρικό μήνυμα, απαντώντας στις ερωτήσεις: Ποιος; Τι; Πότε; Πού; Γιατί; Προτίμησε τους έντονους χαρακτήρες και περιορίσου σε XNUMX-XNUMX προτάσεις.
Αναθεώρηση + δημιουργία. Βαθμολογία Κριτικής τις ρυθμίσεις σας και, στη συνέχεια, κάντε κλικ στο κουμπί Δημιουργία για να δημιουργήσετε τη νέα σας θυρίδα κλειδιού.
- Στη συνέχεια, το Azure θα δημιουργήσει το νέο σας Key Vault. Μόλις είναι έτοιμο, μπορείτε να αποκτήσετε πρόσβαση κάνοντας κλικ στο Μεταβείτε στον πόρο κουμπί.
Δημιουργήστε ένα αίτημα υπογραφής πιστοποιητικού στο Azure Key Vault
- Επιλέξτε το θησαυροφυλάκιο κλειδιών και κάντε κλικ Πιστοποιητικά.
- Κάντε κλικ στο Δημιουργία / εισαγωγή για να ανοίξετε το Δημιουργήστε ένα πιστοποιητικό παράθυρο.
- Ολοκληρώστε τα ακόλουθα πεδία:
- Τρόπος δημιουργίας πιστοποιητικού: Επιλέξτε «Δημιουργία».
- Όνομα πιστοποιητικού: Εισαγάγετε ένα μοναδικό όνομα για το πιστοποιητικό σας.
- Τύπος Αρχής έκδοσης πιστοποιητικών (CA): Επιλέξτε "Πιστοποιητικό που εκδόθηκε από μη ενσωματωμένη ΑΠ."
- Θέμα: Δώστε το X.509 Distinguished Name για το πιστοποιητικό σας.
- Την περίοδο ισχύος: Μπορείτε να αφήσετε αυτό το σετ στην προεπιλογή των 12 μηνών. Για πιστοποιητικά υπογραφής κωδικού με μεγαλύτερες περιόδους ισχύος, το πιστοποιητικό που εκδόθηκε θα ταιριάζει με την παραγγελία σας και όχι με το CSR.
- Τύπος περιεχομένου: Επιλέξτε "PEM".
- Τύπος ενέργειας διάρκειας ζωής: Διαμορφώστε το Azure για αποστολή ειδοποιήσεων μέσω email με βάση ένα ορισμένο ποσοστό της διάρκειας ζωής του πιστοποιητικού ή έναν συγκεκριμένο αριθμό ημερών πριν από τη λήξη.
- Σύνθετη διαμόρφωση πολιτικής. Κάντε κλικ στο Advanced Policy Configuration για να ορίσετε το μέγεθος, τον τύπο και τις πολιτικές κλειδιού για επαναχρησιμοποίηση και δυνατότητα εξαγωγής κλειδιού.
- Για πιστοποιητικά που εκδίδονται από το SSL.com, μπορείτε να αποχωρήσετε Εκτεταμένες βασικές χρήσεις (EKU), X.509 Σημαίες βασικής χρήσης, να Ενεργοποίηση διαφάνειας πιστοποιητικού στις προεπιλεγμένες τιμές τους.
- Επαναχρησιμοποίηση κλειδιού κατά την ανανέωση; Επιλέξτε Όχι.
- Εξαγώγιμο ιδιωτικό κλειδί; Επιλέξτε Όχι.
- Τύπος κλειδιού. Επιλέγω RSA+HSM
- Μέγεθος κλειδιού. Για πιστοποιητικό υπογραφής κωδικού, μπορείτε να επιλέξετε μόνο μεταξύ 3072 ή 4096.
- Όταν ολοκληρώσετε τη ρύθμιση της ρύθμισης παραμέτρων πολιτικής για προχωρημένους, κάντε κλικ στο OK κουμπί, ακολουθούμενο από Δημιουργία.
- Στις Πιστοποιητικά ενότητα, εντοπίστε το πιστοποιητικό σας στη λίστα των σε εξέλιξη, απέτυχε ή ακυρώθηκε πιστοποιητικά και κάντε κλικ σε αυτό.
- Πατήστε Λειτουργία πιστοποιητικού.
- Πατήστε Λήψη CSR και αποθηκεύστε το αρχείο σε ασφαλή θέση.