Cloud HSM pris en charge pour la signature de documents et la signature de code

SSL.com prend actuellement en charge AWSCloudHSM, HSM dédié Azure et HSM Google Cloud pour la délivrance de certificats de signature de documents, Certificats de signature de code IV/OV et Certificats de signature de code EV. Tous ces services cloud HSM fournissent du matériel HSM validé FIPS 140-2 niveau 3 pour générer et stocker des clés de chiffrement. Ce guide fournit une vue d'ensemble de la génération de clés, de l'attestation et de la commande de certificats pour ces plates-formes HSM cloud, et comprend des informations de tarification pour les certificats installés sur des HSM cloud.

Qu'est-ce que l'attestation?
Avant que SSL.com puisse signer et émettre des certificats de signature de code ou de signature de documents approuvés par Adobe, nous devons d'abord obtenir la preuve que la clé de signature privée du client a été générée par et est stockée en toute sécurité sur un FIPS 140-2 niveau 2 (ou supérieur) certifié périphérique, à partir duquel il ne peut pas être exporté. L'acte de prouver qu'une clé privée répond à ces exigences est connu sous le nom de attestation. Les procédures exactes d'attestation de clé privée varient selon les appareils et les plates-formes de cloud computing.

CloudHSM Amazon Web Services (AWS)

Amazon Web Services (AWS) CloudHSM Le service ne fournit actuellement aucun moyen par lequel SSL.com peut automatiser l'attestation des clés générées sur le HSM. Pour cette raison, nous avons besoin d'une cérémonie de génération de paires de clés assistée à distance avant de pouvoir émettre des certificats de signature de document et de signature de code pour l'installation sur AWS CloudHSM. Cette procédure de témoignage à distance entraînera des frais supplémentaires pour le temps passé par le personnel de SSL.com à la cérémonie.

Lors de la cérémonie, le personnel de SSL.com observera la génération d'une ou plusieurs paires de clés cryptographiques avec des clés privées non exportables sur une instance CloudHSM via un logiciel de visioconférence. Suite à la cérémonie, le client peut soumettre une demande de signature de certificat (CSR) pour signature et émission par SSL.com. Veuillez vous référer à Amazon Documentation AWS CloudHSM pour CSR instructions de génération.

Les frais de SSL.com pour les cérémonies de génération de clés sur AWS CloudHSM sont de 1200.00 USD.

Solutions de gestion des clés Microsoft Azure

Il existe trois types de solutions de gestion de clés Azure que SSL.com peut utiliser pour signer des certificats :

  • Azure Key Vault (niveau Premium) et HSM géré Azure Key Vault qui ne fournissent pas d'attestation à distance et dont nous ne pouvons actuellement pas attester directement en tant qu'autorité de certification de manière conforme. Bien que nous acceptions l'utilisation d'Azure Key Vault Managed HSM, la génération de clés conformes doit être auditée et attestée dans une lettre d'un professionnel de la sécurité certifié, détaillée dans le Processus BYOA.
  • HSM dédié Azure pour lesquels SSL.com peut fournir des services d'attestation à distance. Apportez votre propre auditeur (BYOA) peut également être utilisé pour les services Azure Key Vault et Azure Dedicated HSM au lieu de l’attestation SSL.com fournie.

Si un responsable de la sécurité certifié n'existe pas dans l'organisation, il existe des prestataires de services d'attestation externes qui peuvent être engagés pour le faire. Voici un exemple : https://spearit.net/services/remote-key-attestation

Microsoft HSM dédié Azure Le service utilise le HSM SafeNet Luna Network HSM 7 modèle A790. La Luna cmu L'outil de ligne de commande peut être utilisé pour générer une paire de clés cryptographiques et une demande de signature de certificat (CSR) pour la signature de document ou de code, ainsi que les informations requises par SSL.com pour l'attestation. Veuillez vous référer à Thales Documentation de l'utilitaire de gestion des certificats (CMU) pour obtenir des instructions complètes sur l'utilisation du cmu utilitaire.

Lors de la génération de votre paire de clés avec le cmu générer une paire de clés utilitaire, assurez-vous que la clé privée n'est pas extractible (le paramètre par défaut est non extractible). Vous devez générer votre CSR couplé à demande de cmu commander.

Après avoir généré votre paire de clés et CSR, demandez un fichier de confirmation de clé publique (PKC) pour les nouvelles clés avec le cmu getpkc commander. Ce fichier peut être utilisé par SSL.com pour confirmer que la paire de clés a été générée sur du matériel conforme et que la clé privée n'est pas exportable.

Après avoir généré votre paire de clés, CSRet le fichier PKC, vous pouvez soumettre le CSR et PKC à SSL.com pour validation et signature.

Les frais de SSL.com pour la confirmation Azure Dedicated HSM PKC sont de 500.00 USD.

HSM Google Cloud

Google Cloud HSM Le service utilise des appareils fabriqués par Marvell (anciennement Cavium), qui peuvent produire des déclarations d'attestation signées pour les clés cryptographiques que SSL.com peut vérifier avant d'émettre des certificats de signature de document ou de signature de code. Veuillez vous référer à Google Documentation sur la gestion des clés dans le cloud lors de la génération de votre paire de clés et de votre déclaration d'attestation:

Après avoir généré votre paire de clés, CSR, et une déclaration d'attestation, vous pouvez les soumettre à SSL.com pour validation et signature. Utilisateur GitHub mat a fourni un utilitaire open source pour créer un CSR et le signer avec une clé privée de Google Cloud HSM.

Les frais de SSL.com pour l'attestation Google Cloud HSM s'élèvent à 500.00 $ USD.

Apportez votre propre auditeur (BYOA)

Les attestations peuvent également être effectuées par d'autres personnes qualifiées qui ont des certifications reconnues en cybersécurité. Nous appelons cela "Apportez votre propre auditeur" lorsque le propriétaire du HSM utilise des moyens d'attestation de génération de clé autres que les services d'attestation de SSL.com. 

L'option BYOA peut être utilisée pour effectuer n'importe Cérémonie de génération de clé (KGC) d'un HSM conforme, même pour les HSM pour lesquels SSL.com ne fournit pas de services d'attestation. 

BYOA nécessite une préparation minutieuse, sinon le risque de rejet de la clé générée est important. Cela peut se produire si l'appareil utilisé n'est pas conforme, si l'auditeur n'est pas qualifié ou si le rapport de l'auditeur ne couvre pas les exigences du processus. Dans un tel cas, la cérémonie devra être répétée, entraînant des coûts et des délais supplémentaires pour le client. 

Pour éviter de tels scénarios, le support client et/ou les spécialistes de la validation de SSL.com communiquent avec le client avant la KGC pour fournir des conseils et assurer ce qui suit :

  • L'auditeur est agréé selon les critères décrits ci-dessous
  • Les exigences de préparation de la cérémonie, ainsi que le script de la cérémonie, sont clairs et suivis à fond afin que l'environnement KGC soit correctement préparé
  • Toutes les restrictions et/ou conditions spécifiques BYOA sont claires et acceptées par le client

Détails sur les exigences relatives aux auditeurs externes peuvent être trouvés ici.

Niveaux de tarification Cloud HSM

Pour les certificats installés sur les plates-formes cloud HSM, SSL.com propose les niveaux de tarification suivants, basés sur le nombre maximal de signatures par an.

Niveau Prix Signatures par an
Niveau gratuit Prix ​​de base du certificat 1,000
Niveau 1 Prix ​​de base + 180.00 $ 2,000
Niveau 2 Prix ​​de base + 300.00 $ 5,000
Niveau 3 Prix ​​de base + 500.00 $ 10,000
Niveau 4 Contacter le Service Commercial > 10,000

Formulaire de demande de service Cloud HSM

Si vous souhaitez commander des certificats numériques à installer sur une plate-forme HSM cloud prise en charge (AWS CloudHSM ou Azure Dedicated HSM), veuillez remplir et soumettre le formulaire ci-dessous. Après réception de votre demande, un membre du personnel de SSL.com vous contactera avec plus de détails sur le processus de commande et d'attestation.

Autres plates-formes Cloud HSM

SSL.com développe et teste actuellement des procédures pour la délivrance de certificats de signature de documents sur une large gamme de services et de matériel HSM. Si vous souhaitez exprimer votre intérêt à commander des certificats pour une plate-forme que nous ne prenons pas encore en charge et recevoir des mises à jour sur les HSM que nous prenons en charge, veuillez remplir notre Formulaire de demande HSM.

Besoin de plus de ressources pour votre compte SSL.com ? Consultez ces pages : 

Twitter
Facebook
LinkedIn
Reddit
Email

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.