SSL.com tukee tällä hetkellä AWS CloudHSM, Azure Dedicated HSMja Google Cloud HSM Adobe-luotettavien liikkeeseenlaskuun allekirjoittaa varmenteita, IV/OV-koodin allekirjoitussertifikaatitja EV-koodin allekirjoitusvarmenteet. Kaikki nämä pilvi-HSM-palvelut tarjoavat FIPS 140-2 -tason 3 validoimia HSM-laitteistoja salausavainten luomiseen ja tallentamiseen. Tässä oppaassa on yleiskatsaus avainten luomisesta, varmentamisesta ja varmenteiden tilaamisesta näille pilvi-HSM-alustoille. Se sisältää myös hintatiedot pilvi-HSM-laitteille asennetuille varmenteille.
Ennen kuin SSL.com voi allekirjoittaa ja myöntää koodin allekirjoitusvarmenteita tai Adoben luotettavia dokumenttien allekirjoitusvarmenteita, meidän on ensin hankittava todiste siitä, että asiakkaan yksityinen allekirjoitusavain on luotu ja tallennettu turvallisesti FIPS 140-2 Level 2 (tai sitä korkeammalla) sertifioidulla laite, josta sitä ei voi viedä. Todistusta, että yksityinen avain täyttää nämä vaatimukset, kutsutaan nimellä todistaminen. Yksityisen avaimen varmentamisen tarkat menettelyt vaihtelevat laitteiden ja pilvipalvelualustojen välillä.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) PilviHSM palvelu ei tällä hetkellä tarjoa mitään keinoja, joilla SSL.com voi automatisoida HSM:llä luotujen avainten varmentamisen. Tästä syystä edellytämme etänähtävää avainparien luomisseremoniaa, ennen kuin voimme myöntää asiakirjan allekirjoitus- ja koodin allekirjoitusvarmenteita asennettavaksi AWS CloudHSM:ään. Tästä etänäkyvyysmenettelystä peritään lisämaksu ajasta, jonka SSL.com-henkilökunta viettää seremoniassa.
Seremonian aikana SSLD: n henkilökunta tarkkailee yhden tai useamman salausavaimen parin muodostamista ei-vietävillä yksityisillä avaimilla CloudHSM-ilmentymässä videoneuvotteluohjelmiston kautta. Seremonian jälkeen asiakas voi lähettää todistuksen allekirjoittamista koskevan pyynnön (CSR) allekirjoitettavaksi ja liikkeeseen SSL.com: n toimesta. Katso Amazon AWS CloudHSM -dokumentaatio varten CSR sukupolven ohjeet.
SSL.com: n maksu AWS CloudHSM: n avainsukuperemonioista on 1200.00 USD.
Microsoft Azuren oma HSM
Microsoftin Azure Dedicated HSM palvelu käyttää SafeNet Luna Network HSM 7 -mallia A790 HSM. Luna cmu komentorivityökalua voidaan käyttää salausavaimen parin ja varmenteen allekirjoituspyynnön luomiseen (CSR). Katso Thales' Certificate Management Utility (CMU) -dokumentaatio täydelliset ohjeet cmu apuohjelma.
Kun luot avainparin cmu generaattorinäppäin -apuohjelman avulla, varmista, että yksityistä avainta ei voi purkaa (oletusasetus ei ole purettavissa). Sinun tulisi luoda CSR jossa cmu-pyyntötodistus komento.
Kun olet luonut avainparisi ja CSR, pyydä julkisen avaimen vahvistustiedosto (PKC) uusille avaimille cmu getpkc komento. SSL.com voi käyttää tätä tiedostoa vahvistaakseen, että avainpari on luotu yhteensopivalla laitteistolla eikä yksityistä avainta voida viedä.
Kun olet luonut avainparin, CSRja PKC-tiedosto, voit lähettää CSR ja PKC SSL: lle vahvistamista ja allekirjoittamista varten.
SSL.com: n maksu Azure Dedicated HSM PKC -vahvistuksesta on 500.00 USD.
- Azure Dedicated HSM, jolle SSL.com voi tarjota etätodennuspalveluita. Ota mukaan oma tilintarkastaja (BYOA) voidaan käyttää myös Azure Dedicated HSM -palveluihin tarjotun SSL.com-todistuksen sijaan.
- Azure Key Vault Managed HSM, joka ei tarjoa etävarmennusta ja jota emme tällä hetkellä voi todistaa suoraan CA:na yhteensopivalla tavalla. Vaikka hyväksymme Azure Key Vault Managed HSM:n käytön, yhteensopiva avainten luominen on tarkastettava ja todistettava sertifioidun tietoturva-ammattilaisen kirjeellä, joka on kuvattu yksityiskohtaisesti BYOA-prosessi.
Jos organisaatiossa ei ole sertifioitua turvapäällikköä, on olemassa ulkopuolisia sertifiointipalveluntarjoajia, jotka voidaan palkata tekemään niin. Tässä yksi esimerkki: https://spearit.net/services/remote-key-attestation
Google Cloud HSM
Googlen Pilvi HSM Palvelu käyttää Marvellin (entinen Cavium) valmistamia laitteita, jotka voivat tuottaa allekirjoitettuja todistuslausuntoja salausavaimille, jotka SSL.com voi tarkistaa ennen asiakirjan allekirjoitus- tai koodin allekirjoitusvarmenteiden myöntämistä. Katso Googlen Pilviavainhallinnan dokumentaatio kun luot avainparia ja todistuslauseketta:
Kun olet luonut avainparin, CSR, ja todistuslausunnon, voit lähettää ne SSLB: lle vahvistamista ja allekirjoittamista varten. GitHub-käyttäjä Mattes on antanut avoimen lähdekoodin apuohjelma luomiseen CSR ja allekirjoittamalla se yksityisellä avaimella Google Cloud HSM: ltä.
SSL.comin maksu Google Cloud HSM -todistuksesta on 500.00 USD.
Tuo oma tilintarkastaja (BYOA)
Todistuksia voivat suorittaa myös muut pätevät henkilöt, joilla on tunnustetut kyberturvallisuussertifikaatit. Kutsumme tätä "Tuo oma tilintarkastajasi", kun HSM:n omistaja käyttää avainten luomiseen muita keinoja kuin SSL.com:n todistuspalveluita.
BYOA-vaihtoehtoa voidaan käyttää minkä tahansa suorittamiseen Yhteensopivan HSM:n avainten generointiseremonia (KGC) edes niille HSM:ille SSL.com ei tarjoa todistuspalveluita.
BYOA vaatii perusteellisen valmistelun, muuten on olemassa merkittävä riski luodun avaimen hylkäämisestä. Näin voi käydä, jos käytetty laite ei ole vaatimusten mukainen, tilintarkastaja ei ole pätevä tai tilintarkastuskertomus ei kata prosessin vaatimuksia. Tällaisessa tapauksessa seremonia on toistettava, mikä aiheuttaa lisäkustannuksia ja viivästyksiä asiakkaalle.
Tällaisten skenaarioiden välttämiseksi SSL.comin asiakastuki- ja/tai validointiasiantuntijat kommunikoivat asiakkaan kanssa ennen KGC antaa ohjeita ja varmistaa seuraavat asiat:
- Tilintarkastaja hyväksytään alla kuvattujen kriteerien mukaisesti
- Seremonian valmisteluvaatimukset sekä seremonian käsikirjoitus ovat selkeitä ja niitä noudatetaan huolellisesti, jotta KGC-ympäristö on asianmukaisesti valmisteltu
- Kaikki rajoitukset ja/tai BYOA-kohtaiset ehdot ovat selkeitä ja asiakkaan hyväksymiä
Yksityiskohdat ulkopuolisten tilintarkastajien vaatimuksista löytyy täältä.
Pilvipalvelun HSM-hintatasot
HSM-pilvialustoille asennetuille varmenteille SSL.com tarjoaa seuraavat hintatasot, jotka perustuvat allekirjoitusten enimmäismäärään vuodessa.
| eläin | Hinta | Allekirjoitukset vuodessa |
| Ilmainen taso | Perussertifikaatin hinta | 1,000 |
| Taso 1 | Perushinta + 180.00 dollaria | 2,000 |
| Taso 2 | Perushinta + 300.00 dollaria | 5,000 |
| Taso 3 | Perushinta + 500.00 dollaria | 10,000 |
| Taso 4 | Ota yhteyttä myyjään | > 10,000 |
Cloud HSM -palvelupyyntölomake
Jos haluat tilata digitaalisia varmenteita asennettavaksi tuettuun pilvi HSM-alustaan (AWS CloudHSM tai Azure Dedicated HSM), täytä ja lähetä alla oleva lomake. Kun olemme vastaanottaneet pyyntösi, SSL.comin henkilöstön jäsen ottaa sinuun yhteyttä ja antaa lisätietoja tilaus- ja todistusprosessista.
Muut Cloud HSM -alustat
SSL.com kehittää ja testaa parhaillaan menetelmiä asiakirjojen allekirjoitusvarmenteiden myöntämiseksi monenlaisissa HSM-palveluissa ja -laitteistoissa. Jos haluat ilmaista kiinnostuksesi tilata varmenteita alustalle, jota emme vielä tue, ja saada päivityksiä tukemistamme HSM:istä, täytä HSM-kyselylomake.
Tarvitsetko lisää resursseja SSL.com-tilillesi? Tsekkaa nämä sivut:
