A partir del 1 de junio de 2023, SSL.com ha actualizado sus protocolos de almacenamiento de claves para certificados de firma de código para cumplir con las nuevas pautas emitidas por el Foro de Autoridad Certificadora/Navegador (CA/B). Ahora, las claves privadas deben protegerse en tokens USB cifrados, módulos de seguridad de hardware (HSM) in situ compatibles con FIPS o mediante servicios HSM basados en la nube. Entre las opciones de HSM en la nube compatibles, Microsoft Azure Key Vault (nivel Premium) se destaca como una opción sólida para almacenar claves privadas y generar solicitudes de firma de certificados (CSRs).
Al solicitar un certificado de firma con SSL.com, el proceso incluye generar una Solicitud de firma de certificado (CSR) que sirve como una solicitud formal para que SSL.com valide y vincule su identidad a un certificado de firma. Las siguientes secciones demuestran cómo generar un CSR en Azure Key Vault (nivel Premium).
Requisitos previos
- Una bóveda de claves de Azure (nivel Premium). El nivel de servicio de Azure Key Vault que se debe usar para este proceso es Premium porque está validado por FIPS 140-2 Nivel 3.
- Para obtener instrucciones sobre cómo crear una Azure Key Vault, consulte la siguiente sección: Crear una bóveda de claves de Azure.
- Si ya tiene una Azure Key Vault existente, continúe con la otra sección: Genere una solicitud de firma de certificado en Azure Key Vault.
- Un pedido de certificado de firma de SSL.com.
Para obtener una lista completa de HSM en la nube que SSL.com admite para la firma de código, consulte este artículo: HSM en la nube admitidos para firma de documentos y firma de código.
Crear una bóveda de claves de Azure
- Iniciar sesión en el Portal Azure.
- Haga clic en Crea un recurso.
- Desplácese hasta Bóveda de llaves Y haga clic en el Create .
- En la pestaña Básicos sección, realice lo siguiente.
- Seleccione la suscripción y el grupo de recursos. Si es necesario, puede crear un nuevo grupo de recursos haciendo clic en Crear nuevo.
- Asignar un nombre y una región. Proporcione un nombre para su Key Vault y elija una región.
- Opte por el nivel de precios Premium. Para cumplir con el estándar FIPS 140-2, seleccione el nivel de precios "Premium".
- Configurar opciones de recuperación. Configure las opciones de recuperación para su Key Vault, incluida la protección de purga y el período de retención para los almacenes eliminados.
- Haz clic en el botón Siguiente para pasar al Acceder a los ajustes de configuración .
- Haga clic en Configuración de acceso. Establezca las políticas de acceso para su Key Vault.
- Haga clic en Networking. Elija un método de conectividad para su Key Vault.
- Haga clic en Etiquetas. Si lo desea, cree etiquetas para su Key Vault.
- Continúa con el primer párrafo, este debe ir al grano y resumir el mensaje clave respondiendo a las preguntas: ¿Quién? ¿Qué? ¿Cuándo? ¿Dónde? Y ¿por qué? No debe tener más de XNUMX-XNUMX frases y debe ir en negrita.
Revisar + crear. Reseña su configuración y luego haga clic en el botón Crear para crear su nuevo Key Vault.
- Luego, Azure creará su nuevo Key Vault. Una vez que esté listo, podrás acceder a él haciendo clic en el Ir al recurso del botón.
Genere una solicitud de firma de certificado en Azure Key Vault
- Seleccione su almacén de claves y haga clic Certificados.
- Haz clic en el botón Generar / Importar para abrir el Crea un certificado ventana.
- Complete los siguientes campos:
- Método de creación de certificados: Seleccione "Generar".
- Nombre del certificado: Ingrese un nombre único para su certificado.
- Tipo de Autoridad de Certificación (CA): Elija "Certificado emitido por una CA no integrada".
- Título: Proporcione el nombre distinguido X.509 para su certificado.
- Período de validez: Puede dejar este ajuste con el valor predeterminado de 12 meses. Para los certificados de firma de código con períodos de validez más largos, el certificado emitido coincidirá con su pedido, no con el CSR.
- Tipo de contenido: Seleccione "PEM".
- Tipo de acción de por vida: Configure Azure para enviar alertas por correo electrónico en función de un determinado porcentaje de la vida útil del certificado o una cantidad específica de días antes de su vencimiento.
- Configuración de política avanzada. Haga clic en Configuración avanzada de políticas para establecer el tamaño, el tipo y las políticas de clave para la reutilización y exportabilidad de claves.
- Para certificados emitidos por SSL.com, puede dejar Usos extendidos de claves (EKU), Indicadores de uso de claves X.509y Habilitar la transparencia del certificado en sus valores predeterminados.
- ¿Reutilizar la clave en la renovación? Seleccione No.
- ¿Clave privada exportable? Seleccione No.
- Tipo de clave. Seleccione RSA+HSM
- Tamaño clave. Para un certificado de firma de código, solo puede elegir entre 3072 o 4096.
- Cuando haya terminado de configurar la Configuración de política avanzada, haga clic en el OK botón, seguido de Create.
- En la pestaña Certificados sección, ubique su certificado en la lista de en curso, fallido o cancelado certificados y haga clic en él.
- Haga clic en Operación del certificado.
- Haga clic en Descargar CSR y guarde el archivo en una ubicación segura.