SSL.com prend actuellement en charge AWS CloudHSM, HSM dédié Azure et HSM Google Cloud pour la délivrance de certificats de signature de documents et Certificats de signature de code EV. Tous ces services cloud HSM fournissent du matériel HSM validé FIPS 140-2 niveau 3 pour générer et stocker des clés de chiffrement. Ce guide fournit une vue d'ensemble de la génération de clés, de l'attestation et de la commande de certificats pour ces plates-formes HSM cloud, et comprend des informations de tarification pour les certificats installés sur des HSM cloud.
Avant que SSL.com puisse signer et émettre des certificats de signature de code EV ou de signature de documents de confiance Adobe, nous devons d'abord obtenir la preuve que la clé de signature privée du client a été générée et est stockée en toute sécurité sur un FIPS 140-2 niveau 2 (ou supérieur) appareil certifié, à partir duquel il ne peut pas être exporté. Le fait de prouver qu'une clé privée répond à ces exigences est appelé attestation. Les procédures exactes d'attestation de clé privée varient selon les appareils et les plates-formes de cloud computing.
CloudHSM Amazon Web Services (AWS)
Amazon Web Services (AWS) CloudHSM Le service ne fournit actuellement aucun moyen par lequel SSL.com peut automatiser l'attestation des clés générées sur le HSM. Pour cette raison, nous avons besoin d'une cérémonie de génération de paires de clés avec témoin à distance avant de pouvoir émettre des certificats de signature de document et de signature de code EV pour l'installation sur AWS CloudHSM. Cette procédure de témoignage à distance entraînera des frais supplémentaires pour le temps passé par le personnel de SSL.com à la cérémonie.
Lors de la cérémonie, le personnel de SSL.com observera la génération d'une ou plusieurs paires de clés cryptographiques avec des clés privées non exportables sur une instance CloudHSM via un logiciel de visioconférence. Suite à la cérémonie, le client peut soumettre une demande de signature de certificat (CSR) pour signature et émission par SSL.com. Veuillez vous référer à Amazon Documentation AWS CloudHSM marquage CSR instructions de génération.
Les frais de SSL.com pour les cérémonies de génération de clés sur AWS CloudHSM sont de 1200.00 USD.
HSM dédié Microsoft Azure
Microsoft HSM dédié Azure Le service utilise le HSM SafeNet Luna Network HSM 7 modèle A790. La Luna cmu
L'outil de ligne de commande peut être utilisé pour générer une paire de clés cryptographiques et une demande de signature de certificat (CSR) pour la signature de documents ou la signature de code EV, ainsi que les informations requises par SSL.com pour l'attestation. Veuillez vous référer à Thales Documentation de l'utilitaire de gestion des certificats (CMU) pour obtenir des instructions complètes sur l'utilisation du cmu
utilitaire.
Lors de la génération de votre paire de clés avec le cmu générer une paire de clés utilitaire, assurez-vous que la clé privée n'est pas extractible (le paramètre par défaut est non extractible). Vous devez générer votre CSR les demande de cmu commander.
Après avoir généré votre paire de clés et CSR, demandez un fichier de confirmation de clé publique (PKC) pour les nouvelles clés avec le cmu getpkc commander. Ce fichier peut être utilisé par SSL.com pour confirmer que la paire de clés a été générée sur du matériel conforme et que la clé privée n'est pas exportable.
Après avoir généré votre paire de clés, CSRet le fichier PKC, vous pouvez soumettre le CSR et PKC à SSL.com pour validation et signature.
Les frais de SSL.com pour la confirmation Azure Dedicated HSM PKC sont de 500.00 USD.
HSM Google Cloud
Google Cloud HSM Le service utilise des appareils fabriqués par Marvell (anciennement Cavium), qui peuvent produire des déclarations d'attestation signées pour les clés cryptographiques que SSL.com peut vérifier avant d'émettre des certificats de signature de document ou de signature de code EV. Veuillez vous référer à Google Documentation sur la gestion des clés dans le cloud lors de la génération de votre paire de clés et de votre déclaration d'attestation:
Après avoir généré votre paire de clés, CSR, et une déclaration d'attestation, vous pouvez les soumettre à SSL.com pour validation et signature. Utilisateur GitHub mat a fourni un utilitaire open source pour créer un CSR et le signer avec une clé privée de Google Cloud HSM.
Les frais de SSL.com pour l'attestation Google Cloud HSM s'élèvent à 500.00 $ USD.
Apportez votre propre auditeur (BYOA)
BYOA est une alternative valable pour les clients, mais elle nécessite une préparation minutieuse, sinon, il existe un risque important de rejet de la clé générée. Cela peut arriver si le dispositif utilisé n'est pas conforme, ou si l'auditeur n'est pas qualifié, ou si le rapport de l'auditeur ne couvre pas les exigences du processus. Dans un tel cas, la cérémonie et son témoignage doivent être répétés, ce qui entraîne des coûts et des retards supplémentaires pour le client.
Pour éviter de tels scénarios, le support client et/ou les spécialistes de validation de SSL.com communiquent avec le client avant le KGC pour fournir des conseils et assurer ce qui suit :
- L'auditeur est agréé selon les critères décrits ci-dessous
- Les exigences de préparation de la cérémonie ainsi que le script de la cérémonie sont clairs et suivis scrupuleusement, de sorte que l'environnement du KGC soit bien préparé.
- Toutes les restrictions et/ou conditions spécifiques BYOA sont claires et acceptées par le client
Niveaux de tarification Cloud HSM
Pour les certificats installés sur les plates-formes cloud HSM, SSL.com propose les niveaux de tarification suivants, basés sur le nombre maximal de signatures par an.
Niveau | Prix | Signatures par an |
Niveau gratuit | Prix de base du certificat | 1,000 |
Niveau 1 | Prix de base + 180.00 $ | 2,000 |
Niveau 2 | Prix de base + 300.00 $ | 5,000 |
Niveau 3 | Prix de base + 500.00 $ | 10,000 |
Niveau 4 | Contacter le Service Commercial | > 10,000 |
Formulaire de demande de service Cloud HSM
Si vous souhaitez commander des certificats numériques pour une installation sur une plate-forme cloud HSM prise en charge (AWS CloudHSM ou Azure Dedicated HSM), veuillez remplir et envoyer le formulaire ci-dessous. Après réception de votre demande, un membre du personnel de SSL.com vous contactera avec plus de détails sur le processus de commande et d'attestation.
Autres plates-formes Cloud HSM
SSL.com développe et teste actuellement des procédures d'émission de certificats de signature de documents sur une large gamme de services et de matériel HSM. Si vous souhaitez exprimer votre intérêt pour la commande de certificats pour une plate-forme que nous ne prenons pas encore en charge et recevez des mises à jour sur les HSM que nous prenons en charge, veuillez remplir notre Formulaire de demande HSM.
Besoin de plus de ressources pour votre compte SSL.com ? Consultez ces pages :