en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

HSM en la nube compatibles para firma de documentos y firma de código EV

SSL.com admite actualmente AWS CloudHSM, HSM dedicado de Azurey Google Cloud HSM para la emisión de certificados de confianza de Adobe certificados de firma de documentos y la Certificados de firma de código EV. Todos estos servicios HSM en la nube proporcionan hardware HSM validado FIPS 140-2 Nivel 3 para generar y almacenar claves de cifrado. Esta guía proporciona una descripción general de la generación de claves, la certificación y el pedido de certificados para estas plataformas HSM en la nube e incluye información sobre los precios de los certificados instalados en los HSM en la nube.

¿Qué es la atestación?
Antes de que SSL.com pueda firmar y emitir certificados de firma de código EV o de firma de documentos de confianza de Adobe, primero debemos obtener una prueba de que la clave de firma privada del cliente ha sido generada y almacenada de forma segura en un FIPS 140-2 Nivel 2 (o superior) dispositivo certificado, desde el cual no se puede exportar. El acto de probar que una clave privada cumple con estos requisitos se conoce como certificación. Los procedimientos exactos para la certificación de la clave privada varían entre dispositivos y plataformas de computación en la nube.

Servicios web de Amazon (AWS) CloudHSM

Servicios Web de Amazon (AWS) CloudHSM El servicio actualmente no proporciona ningún medio por el cual SSL.com pueda automatizar la certificación de las claves generadas en el HSM. Por esta razón, necesitamos una ceremonia de generación de pares de claves con presencia remota antes de que podamos emitir certificados de firma de documentos y firma de código EV para su instalación en AWS CloudHSM. Este procedimiento de presencia remota incurrirá en un cargo adicional por el tiempo que el personal de SSL.com dedique a la ceremonia.

Durante la ceremonia, el personal de SSL.com observará la generación de uno o más pares de claves criptográficas con claves privadas no exportables en una instancia de CloudHSM a través del software de videoconferencia. Después de la ceremonia, el cliente puede enviar una solicitud de firma de certificado (CSR) para la firma y emisión por SSL.com. Por favor refiérase a Amazon Documentación de AWS CloudHSM para CSR instrucciones de generación.

La tarifa de SSL.com por las ceremonias de generación de claves en AWS CloudHSM es de $ 1200.00 USD.

HSM dedicado de Microsoft Azure

Microsoft HSM dedicado de Azure El servicio utiliza SafeNet Luna Network HSM 7 Modelo A790 HSM. La luna cmu La herramienta de línea de comandos se puede utilizar para generar un par de claves criptográficas y una solicitud de firma de certificado (CSR) para la firma de documentos o la firma de código EV, junto con la información requerida por SSL.com para la certificación. Por favor refiérase a Thales Documentación de Certificate Management Utility (CMU) para obtener instrucciones completas sobre cómo trabajar con cmu utilidad.

Al generar su par de claves con el cmu generatekeypair utilidad, asegúrese de asegurarse de que la clave privada no sea extraíble (la configuración predeterminada no es extraíble). Debes generar tu CSR con certificado de solicitud de cmu mando.

Después de generar su par de claves y CSR, solicite un archivo de confirmación de clave pública (PKC) para las nuevas claves con el cmu getpkc mando. SSL.com puede utilizar este archivo para confirmar que el par de claves se generó en un hardware compatible y que la clave privada no se puede exportar.

Después de generar su par de claves, CSRy el archivo PKC, puede enviar el CSR y PKC a SSL.com para validación y firma.

La tarifa de SSL.com para la confirmación de PKC de Azure Dedicated HSM es de $ 500.00 USD.

Google Cloud HSM

De Google HSM en la nube El servicio utiliza dispositivos fabricados por Marvell (anteriormente Cavium), que pueden producir declaraciones de atestación firmadas para claves criptográficas que SSL.com puede verificar antes de emitir certificados de firma de documento o firma de código EV. Por favor refiérase a Google Documentación de Cloud Key Management al generar su par de claves y declaración de atestación:

Después de generar su par de claves, CSRy declaración de atestación, puede enviarlos a SSL.com para su validación y firma. Usuario de GitHub mate ha proporcionado un utilidad de código abierto por crear un CSR y firmarlo con una clave privada de Google Cloud HSM.

La tarifa de SSL.com para la certificación de Google Cloud HSM es de $ 500.

Niveles de precios de Cloud HSM

Para los certificados instalados en plataformas HSM en la nube, SSL.com ofrece los siguientes niveles de precios, según el número máximo de firmas por año.

NivelPrecioFichas por año
Nivel gratuitoPrecio del certificado base1,000
Tier 1Precio base + $ 180.002,000
Tier 2Precio base + $ 300.005,000
Tier 3Precio base + $ 500.0010,000
Tier 4Contacte al equipo de Ventas> 10,000

Formulario de solicitud de servicio de Cloud HSM

Si desea solicitar certificados digitales para su instalación en una plataforma HSM en la nube compatible (AWS CloudHSM o Azure Dedicated HSM), complete y envíe el formulario a continuación. Una vez que recibamos su solicitud, un miembro del personal de SSL.com se comunicará con usted para brindarle más detalles sobre el proceso de pedido y certificación.

Otras plataformas de HSM en la nube

SSL.com está desarrollando y probando actualmente procedimientos para la emisión de certificados de firma de documentos en una amplia gama de servicios y hardware de HSM. Si desea expresar interés en solicitar certificados para una plataforma que aún no admitimos y recibir actualizaciones sobre los HSM que admitimos, complete nuestro Formulario de consulta de HSM.

Traiga su propio auditor (BYOA)

BYOA es una alternativa válida para los clientes, pero requiere una preparación minuciosa, de lo contrario, existe un riesgo significativo de rechazo de la clave generada. Esto podría suceder si el dispositivo utilizado no cumple con los requisitos, el auditor no está calificado o el informe del auditor no cubre los requisitos del proceso. En tal caso, la ceremonia y su presencia deben repetirse, lo que genera costos adicionales y demoras para el cliente. 

Para evitar tales escenarios, el soporte al cliente de SSL.com y / o los especialistas en validación se comunican con el cliente antes del KGC para brindar orientación y garantizar lo siguiente:

  • El auditor es aprobado de acuerdo con los criterios que se describen a continuación.
  • Los requisitos de preparación de la ceremonia, así como el guión de la ceremonia, son claros y se siguen a fondo, por lo que el entorno de KGC está bien preparado.
  • Cualquier restricción y / o términos y condiciones específicos de BYOA son claros y aceptados por el cliente.

 

Compartir en twitter
Twitter
Compartir en facebook
Facebook
Compartir en linkedin
LinkedIn
Compartir en Reddit
Reddit
Compartir en email
Correo electrónico