SSL.com prend actuellement en charge AWSCloudHSM, HSM dédié Azureet HSM Google Cloud pour la délivrance de certificats de signature de documents, Certificats de signature de code IV/OVet Certificats de signature de code EV. Tous ces services cloud HSM fournissent du matériel HSM validé FIPS 140-2 niveau 3 pour générer et stocker des clés de chiffrement. Ce guide fournit une vue d'ensemble de la génération de clés, de l'attestation et de la commande de certificats pour ces plates-formes HSM cloud, et comprend des informations de tarification pour les certificats installés sur des HSM cloud.
Avant que SSL.com puisse signer et émettre des certificats de signature de code ou de signature de documents approuvés par Adobe, nous devons d'abord obtenir la preuve que la clé de signature privée du client a été générée par et est stockée en toute sécurité sur un FIPS 140-2 niveau 2 (ou supérieur) certifié périphérique, à partir duquel il ne peut pas être exporté. L'acte de prouver qu'une clé privée répond à ces exigences est connu sous le nom de attestation. Les procédures exactes d'attestation de clé privée varient selon les appareils et les plates-formes de cloud computing.
CloudHSM Amazon Web Services (AWS)
Amazon Web Services (AWS) CloudHSM Le service ne fournit actuellement aucun moyen par lequel SSL.com peut automatiser l'attestation des clés générées sur le HSM. Pour cette raison, nous avons besoin d'une cérémonie de génération de paires de clés assistée à distance avant de pouvoir émettre des certificats de signature de document et de signature de code pour l'installation sur AWS CloudHSM. Cette procédure de témoignage à distance entraînera des frais supplémentaires pour le temps passé par le personnel de SSL.com à la cérémonie.
Lors de la cérémonie, le personnel de SSL.com observera la génération d'une ou plusieurs paires de clés cryptographiques avec des clés privées non exportables sur une instance CloudHSM via un logiciel de visioconférence. Suite à la cérémonie, le client peut soumettre une demande de signature de certificat (CSR) pour signature et émission par SSL.com. Veuillez vous référer à Amazon Documentation AWS CloudHSM en CSR instructions de génération.
Les frais de SSL.com pour les cérémonies de génération de clés sur AWS CloudHSM sont de 1200.00 USD.
HSM dédié Microsoft Azure
Microsoft HSM dédié Azure Le service utilise le HSM SafeNet Luna Network HSM 7 modèle A790. La Luna cmu L'outil de ligne de commande peut être utilisé pour générer une paire de clés cryptographiques et une demande de signature de certificat (CSR) pour la signature de document ou de code, ainsi que les informations requises par SSL.com pour l'attestation. Veuillez vous référer à Thales Documentation de l'utilitaire de gestion des certificats (CMU) pour obtenir des instructions complètes sur l'utilisation du cmu utilitaire.
Lors de la génération de votre paire de clés avec le cmu générer une paire de clés utilitaire, assurez-vous que la clé privée n'est pas extractible (le paramètre par défaut est non extractible). Vous devez générer votre CSR les demande de cmu commander.
Après avoir généré votre paire de clés et CSR, demandez un fichier de confirmation de clé publique (PKC) pour les nouvelles clés avec le cmu getpkc commander. Ce fichier peut être utilisé par SSL.com pour confirmer que la paire de clés a été générée sur du matériel conforme et que la clé privée n'est pas exportable.
Après avoir généré votre paire de clés, CSRet le fichier PKC, vous pouvez soumettre le CSR et PKC à SSL.com pour validation et signature.
Les frais de SSL.com pour la confirmation Azure Dedicated HSM PKC sont de 500.00 USD.
- Azure Dedicated HSM pour lequel SSL.com peut fournir des services d'attestation à distance. Apportez votre propre auditeur (BYOA) peut également être utilisé pour les services Azure Dedicated HSM au lieu de l'attestation SSL.com fournie.
- Azure Key Vault Managed HSM qui ne prévoit pas d'attestation à distance et que nous ne pouvons actuellement pas attester directement en tant qu'autorité de certification de manière conforme. Bien que nous acceptions l'utilisation d'Azure Key Vault Managed HSM, la génération de clé conforme doit être auditée et attestée dans une lettre d'un professionnel de la sécurité certifié qui est détaillée dans le Processus BYOA.
Si un responsable de la sécurité certifié n'existe pas dans l'organisation, il existe des prestataires de services d'attestation externes qui peuvent être engagés pour le faire. Voici un exemple : https://spearit.net/services/remote-key-attestation
HSM Google Cloud
Google Cloud HSM Le service utilise des appareils fabriqués par Marvell (anciennement Cavium), qui peuvent produire des déclarations d'attestation signées pour les clés cryptographiques que SSL.com peut vérifier avant d'émettre des certificats de signature de document ou de signature de code. Veuillez vous référer à Google Documentation sur la gestion des clés dans le cloud lors de la génération de votre paire de clés et de votre déclaration d'attestation:
Après avoir généré votre paire de clés, CSR, et une déclaration d'attestation, vous pouvez les soumettre à SSL.com pour validation et signature. Utilisateur GitHub mat a fourni un utilitaire open source pour créer un CSR et le signer avec une clé privée de Google Cloud HSM.
Les frais de SSL.com pour l'attestation Google Cloud HSM s'élèvent à 500.00 $ USD.
Apportez votre propre auditeur (BYOA)
Les attestations peuvent également être effectuées par d'autres personnes qualifiées qui ont des certifications reconnues en cybersécurité. Nous appelons cela "Apportez votre propre auditeur" lorsque le propriétaire du HSM utilise des moyens d'attestation de génération de clé autres que les services d'attestation de SSL.com.
L'option BYOA peut être utilisée pour effectuer n'importe Cérémonie de génération de clé (KGC) d'un HSM conforme, même pour les HSM pour lesquels SSL.com ne fournit pas de services d'attestation.
BYOA nécessite une préparation minutieuse, sinon le risque de rejet de la clé générée est important. Cela peut se produire si l'appareil utilisé n'est pas conforme, si l'auditeur n'est pas qualifié ou si le rapport de l'auditeur ne couvre pas les exigences du processus. Dans un tel cas, la cérémonie devra être répétée, entraînant des coûts et des délais supplémentaires pour le client.
Pour éviter de tels scénarios, le support client et/ou les spécialistes de la validation de SSL.com communiquent avec le client avant la KGC pour fournir des conseils et assurer ce qui suit :
- L'auditeur est agréé selon les critères décrits ci-dessous
- Les exigences de préparation de la cérémonie, ainsi que le script de la cérémonie, sont clairs et suivis à fond afin que l'environnement KGC soit correctement préparé
- Toutes les restrictions et/ou conditions spécifiques BYOA sont claires et acceptées par le client
Détails sur les exigences relatives aux auditeurs externes peuvent être trouvés ici.
Niveaux de tarification Cloud HSM
Pour les certificats installés sur les plates-formes cloud HSM, SSL.com propose les niveaux de tarification suivants, basés sur le nombre maximal de signatures par an.
| Niveau | Prix | Signatures par an |
| Niveau gratuit | Prix de base du certificat | 1,000 |
| Niveau 1 | Prix de base + 180.00 $ | 2,000 |
| Niveau 2 | Prix de base + 300.00 $ | 5,000 |
| Niveau 3 | Prix de base + 500.00 $ | 10,000 |
| Niveau 4 | Contacter le Service Commercial | > 10,000 |
Formulaire de demande de service Cloud HSM
Si vous souhaitez commander des certificats numériques à installer sur une plate-forme HSM cloud prise en charge (AWS CloudHSM ou Azure Dedicated HSM), veuillez remplir et soumettre le formulaire ci-dessous. Après réception de votre demande, un membre du personnel de SSL.com vous contactera avec plus de détails sur le processus de commande et d'attestation.
Autres plates-formes Cloud HSM
SSL.com développe et teste actuellement des procédures pour la délivrance de certificats de signature de documents sur une large gamme de services et de matériel HSM. Si vous souhaitez exprimer votre intérêt à commander des certificats pour une plate-forme que nous ne prenons pas encore en charge et recevoir des mises à jour sur les HSM que nous prenons en charge, veuillez remplir notre Formulaire de demande HSM.
Besoin de plus de ressources pour votre compte SSL.com ? Consultez ces pages :
