SSL.com admite actualmente Nube de AWS HSM, HSM dedicado de Azurey HSM de la nube de Google para la emisión de certificados de confianza de Adobe certificados de firma de documentos, Certificados de firma de código IV/OVy Certificados de firma de código EV. Todos estos servicios HSM en la nube proporcionan hardware HSM validado FIPS 140-2 Nivel 3 para generar y almacenar claves de cifrado. Esta guía proporciona una descripción general de la generación de claves, la certificación y el pedido de certificados para estas plataformas HSM en la nube e incluye información sobre los precios de los certificados instalados en los HSM en la nube.
Antes de que SSL.com pueda firmar y emitir la firma de código o los certificados de firma de documentos de confianza de Adobe, primero debemos obtener una prueba de que la clave de firma privada del cliente ha sido generada y almacenada de forma segura en un certificado FIPS 140-2 Nivel 2 (o superior). dispositivo, desde el cual no se puede exportar. El acto de probar que una clave privada cumple con estos requisitos se conoce como certificación. Los procedimientos exactos para la certificación de la clave privada varían entre dispositivos y plataformas de computación en la nube.
Servicios web de Amazon (AWS) CloudHSM
Servicios Web de Amazon (AWS) NubeHSM Actualmente, el servicio no proporciona ningún medio por el cual SSL.com pueda automatizar la certificación de claves generadas en el HSM. Por este motivo, requerimos una ceremonia de generación de pares de claves con presencia remota antes de que podamos emitir certificados de firma de documentos y firma de código para la instalación en AWS CloudHSM. Este procedimiento de testimonio remoto incurrirá en un cargo adicional por el tiempo que el personal de SSL.com dedique a la ceremonia.
Durante la ceremonia, el personal de SSL.com observará la generación de uno o más pares de claves criptográficas con claves privadas no exportables en una instancia de CloudHSM a través del software de videoconferencia. Después de la ceremonia, el cliente puede enviar una solicitud de firma de certificado (CSR) para la firma y emisión por SSL.com. Por favor refiérase a Amazon Documentación de AWS CloudHSM para CSR instrucciones de generación.
La tarifa de SSL.com por las ceremonias de generación de claves en AWS CloudHSM es de $ 1200.00 USD.
HSM dedicado de Microsoft Azure
Microsoft HSM dedicado de Azure El servicio utiliza SafeNet Luna Network HSM 7 Modelo A790 HSM. La luna cmu La herramienta de línea de comandos se puede utilizar para generar un par de claves criptográficas y una solicitud de firma de certificado (CSR) para la firma de documentos o la firma de códigos, junto con la información requerida por SSL.com para la atestación. Por favor refiérase a Thales' Documentación de Certificate Management Utility (CMU) para obtener instrucciones completas sobre cómo trabajar con cmu utilidad.
Al generar su par de claves con el cmu generar par de claves utilidad, asegúrese de asegurarse de que la clave privada no sea extraíble (la configuración predeterminada no es extraíble). Debes generar tu CSR con el certificado de solicitud de cmu mando.
Después de generar su par de claves y CSR, solicite un archivo de confirmación de clave pública (PKC) para las nuevas claves con el cmu getpkc mando. SSL.com puede utilizar este archivo para confirmar que el par de claves se generó en un hardware compatible y que la clave privada no se puede exportar.
Después de generar su par de claves, CSRy el archivo PKC, puede enviar el CSR y PKC a SSL.com para validación y firma.
La tarifa de SSL.com para la confirmación de PKC de Azure Dedicated HSM es de $ 500.00 USD.
- Azure Dedicated HSM para el que SSL.com puede proporcionar servicios de atestación remota. Trae tu propio auditor (BYOA) también se puede usar para los servicios HSM dedicados de Azure en lugar de la atestación de SSL.com proporcionada.
- Azure Key Vault Managed HSM que no proporciona atestación remota y actualmente no podemos atestiguar directamente como CA de manera compatible. Si bien aceptamos el uso de Azure Key Vault Managed HSM, la generación de claves compatible debe auditarse y certificarse en una carta de un profesional de seguridad certificado que se detalla en el proceso BYOA.
Si no existe un oficial de seguridad certificado en la organización, hay proveedores de servicios de certificación externos que pueden contratarse para hacerlo. Aquí hay un ejemplo: https://spearit.net/services/remote-key-attestation
HSM de la nube de Google
De Google HSM en la nube El servicio utiliza dispositivos fabricados por Marvell (anteriormente Cavium), que pueden producir declaraciones de atestación firmadas para claves criptográficas que SSL.com puede verificar antes de emitir certificados de firma de documentos o códigos. Por favor refiérase a Google Documentación de Cloud Key Management al generar su par de claves y declaración de atestación:
Después de generar su par de claves, CSRy declaración de atestación, puede enviarlos a SSL.com para su validación y firma. Usuario de GitHub mate ha proporcionado un utilidad de código abierto por crear un CSR y firmarlo con una clave privada de Google Cloud HSM.
La tarifa de SSL.com para la certificación de Google Cloud HSM es de $ 500.00 USD.
Traiga su propio auditor (BYOA)
Las atestaciones también pueden ser realizadas por otras personas calificadas que tengan certificaciones de seguridad cibernética reconocidas. Llamamos a esto "Traiga su propio auditor" cuando el propietario del HSM utiliza medios para la certificación de generación de claves que no sean los servicios de certificación de SSL.com.
La opción BYOA se puede utilizar para realizar cualquier Ceremonia de generación de claves (KGC) de un HSM compatible, incluso para aquellos HSM para los que SSL.com no proporciona servicios de certificación.
BYOA requiere una preparación minuciosa, de lo contrario, existe un riesgo significativo de rechazo de la clave generada. Esto podría suceder si el dispositivo utilizado no cumple con los requisitos, el auditor no está calificado o el informe del auditor no cubre los requisitos del proceso. En tal caso, la ceremonia deberá repetirse, lo que generará costos adicionales y demoras para el cliente.
Para evitar tales escenarios, los especialistas de soporte al cliente y/o validación de SSL.com se comunican con el cliente antes de que KGC proporcionar orientación y garantizar lo siguiente:
- El auditor es aprobado de acuerdo con los criterios que se describen a continuación.
- Los requisitos de preparación de la ceremonia, así como el guión de la ceremonia, son claros y se siguen minuciosamente para que el entorno de KGC esté debidamente preparado.
- Cualquier restricción y / o términos y condiciones específicos de BYOA son claros y aceptados por el cliente.
Detalles sobre los requisitos para los auditores externos se puede encontrar aquí.
Niveles de precios de Cloud HSM
Para los certificados instalados en plataformas HSM en la nube, SSL.com ofrece los siguientes niveles de precios, según el número máximo de firmas por año.
| Nivel | Precio | Fichas por año |
| Nivel gratuito | Precio del certificado base | 1,000 |
| Tier 1 | Precio base + $ 180.00 | 2,000 |
| Tier 2 | Precio base + $ 300.00 | 5,000 |
| Tier 3 | Precio base + $ 500.00 | 10,000 |
| Tier 4 | Contacto con las ventas | > 10,000 |
Formulario de solicitud de servicio de Cloud HSM
Si desea solicitar certificados digitales para la instalación en una plataforma HSM en la nube compatible (AWS CloudHSM o Azure Dedicated HSM), complete y envíe el formulario a continuación. Después de que recibamos su solicitud, un miembro del personal de SSL.com se comunicará con usted para brindarle más detalles sobre el proceso de pedido y certificación.
Otras plataformas de HSM en la nube
SSL.com actualmente está desarrollando y probando procedimientos para la emisión de certificados de firma de documentos en una amplia gama de servicios y hardware de HSM. Si desea expresar su interés en solicitar certificados para una plataforma que aún no admitimos y recibir actualizaciones sobre los HSM que admitimos, complete nuestro Formulario de consulta de HSM.
¿Necesita más recursos para su cuenta SSL.com? Echa un vistazo a estas páginas:
