Générer une demande de signature de certificat dans Azure Key Vault

À compter du 1er juin 2023, SSL.com a mis à jour ses protocoles de stockage de clés pour les certificats de signature de code afin de se conformer aux nouvelles directives émises par le forum des autorités de certification/navigateurs (CA/B). Désormais, les clés privées doivent être sécurisées dans des jetons USB cryptés, des modules de sécurité matérielle (HSM) sur site conformes à la FIPS ou via des services HSM basés sur le cloud. Parmi les options HSM cloud prises en charge, Microsoft Azure Key Vault (Premium Tier) se distingue comme un choix robuste pour stocker des clés privées et générer des demandes de signature de certificat (CSRs). 

Lors de la demande d'un certificat de signature avec SSL.com, le processus comprend la génération d'une demande de signature de certificat (CSR) qui sert de demande formelle à SSL.com pour valider et lier votre identité à un certificat de signature. Les sections suivantes montrent comment générer un CSR dans Azure Key Vault (niveau Premium).

Pré-requis

  1.  Un Azure Key Vault (niveau Premium). Le niveau de service Azure Key Vault qui doit être utilisé pour ce processus est Premium car il est validé FIPS 140-2 niveau 3.
    1. Pour obtenir des instructions sur la création d’un Azure Key Vault, veuillez consulter la section suivante : Créer un coffre-fort de clés Azure.
    2. Si vous disposez déjà d’un Azure Key Vault existant, veuillez passer à l’autre section : Générez une demande de signature de certificat dans Azure Key Vault.
  2. Une commande de certificat de signature auprès de SSL.com. 
Pour obtenir la liste complète des HSM cloud pris en charge par SSL.com pour la signature de code, veuillez vous référer à cet article : Cloud HSM pris en charge pour la signature de documents et la signature de code.

Créer un coffre-fort de clés Azure

  1. Connectez-vous à la Portail Azure.

  2. Cliquez Créer une ressource.
  3. Faites défiler jusqu'à Coffre à clés Et cliquez sur le Création lien.

  4. En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Basics section, effectuez les opérations suivantes.
    1. Sélectionnez l'abonnement et le groupe de ressources. Si nécessaire, vous pouvez créer un nouveau groupe de ressources en cliquant sur Créer un nouveau.
    2. Attribuer un nom et une région. Donnez un nom à votre Key Vault et choisissez une région.
    3. Optez pour le niveau tarifaire Premium. Pour vous conformer à la norme FIPS 140-2, sélectionnez le niveau tarifaire « Premium ».
    4. Configurer les options de récupération. Définissez les options de récupération de votre Key Vault, y compris la protection contre la purge et la période de conservation des coffres supprimés.
    5. Cliquez Suivant bouton pour passer à la Accéder aux paramètres de configuration .

  5. Cliquez Configurer l'accès. Définissez les stratégies d'accès pour votre Key Vault.
  6. Cliquez Réseautage. Choisissez une méthode de connectivité pour votre Key Vault.
  7. Cliquez Tags. Si vous le souhaitez, créez des balises pour votre Key Vault.

  8. Continuer à Réviser + créer. Avis vos paramètres, puis cliquez sur le bouton Créer pour créer votre nouveau Key Vault.

  9. Azure créera ensuite votre nouveau Key Vault. Une fois prêt, vous pouvez y accéder en cliquant sur le Aller à la ressource .

Générer une demande de signature de certificat dans Azure Key Vault

  1. Sélectionnez votre coffre de clés et cliquez sur Certificats.

  2. Cliquez Générer / Importer bouton pour ouvrir le Créer un certificat fenêtre.

  3. Remplissez les champs suivants :
    1. Méthode de création de certificat : Sélectionnez « Générer ».
    2. Nom du certificat: Entrez un nom unique pour votre certificat.
    3. Type d'autorité de certification (CA) : Choisissez « Certificat délivré par une autorité de certification non intégrée ».
    4. Sujet: Fournissez le nom distinctif X.509 pour votre certificat.
    5. Période de validité: Vous pouvez laisser ce paramètre par défaut de 12 mois. Pour les certificats de signature de code avec des périodes de validité plus longues, le certificat émis correspondra à votre commande, et non au CSR.
    6. Type de contenu: Sélectionnez « PEM ».
    7. Type d'action à vie : Configurez Azure pour envoyer des alertes par e-mail en fonction d'un certain pourcentage de la durée de vie du certificat ou d'un nombre spécifique de jours avant l'expiration.
  4. Configuration de stratégie avancée. Cliquez sur Configuration de stratégie avancée pour définir la taille, le type et les stratégies de clé pour la réutilisation et l'exportabilité des clés.
    1. Pour les certificats émis par SSL.com, vous pouvez laisser Usages clés étendus (EKU), Drapeaux d'utilisation de clé X.509, Activer la transparence des certificats à leurs valeurs par défaut.
    2. Réutiliser la clé lors du renouvellement ? Sélectionnez Non.
    3. Clé privée exportable ? Sélectionnez Non.
    4. Type de clé. Sélectionner RSA+HSM
    5. Taille de clé. Pour un certificat de signature de code, vous ne pouvez choisir qu'entre 3072 ou 4096.

  5.  Lorsque vous avez terminé de définir la configuration de stratégie avancée, cliquez sur le bouton OK bouton, suivi de Création.

  6. Sur le Certificats section, localisez votre certificat dans la liste des en cours, échoué ou annulé certificats et cliquez dessus.
  7. Cliquez Opération de certificat.

  8. Cliquez Télécharger CSR et enregistrez le fichier dans un emplacement sécurisé.

Soumettez la demande de signature de certificat (CSR) sur SSL.com 

Le téléchargé CSR file will be submitted to the SSL.com agent assigned to the subscriber. De même que le CSR file, the subscriber must also submit the Auditor Attestation Form. The template for the form can be downloaded from this article: Guide Bring Your Own Auditor (BYOA) pour l’attestation de génération de clé privée. After this, the process will proceed to verification of the documents submitted. The SSL.com agent assigned to the subscriber will provide updates up until the signing certificate is ready for issuance.

Abonnez-vous à la newsletter de SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.