Az SSL.com jelenleg támogatja AWS CloudHSM, Azure dedikált HSMés Google Cloud HSM az Adobe-megbízható kiadásához dokumentum aláíró tanúsítványok, IV/OV kód aláíró tanúsítványokés EV kód aláíró tanúsítványok. Mindezek a felhőalapú HSM-szolgáltatások a FIPS 140-2 3. szintű validált HSM hardvert biztosítják a titkosítási kulcsok előállításához és tárolásához. Ez az útmutató áttekintést nyújt ezeknek a felhő HSM platformoknak a kulcsgenerálásról, az igazolásról és a tanúsítványok megrendeléséről, valamint a felhő HSM-ekre telepített tanúsítványok árképzési információit tartalmazza.
Mielőtt az SSL.com aláírhatna és kód-aláíró vagy Adobe által megbízható dokumentum-aláíró tanúsítványokat bocsáthatna ki, először bizonyítékot kell szereznünk arra vonatkozóan, hogy az ügyfél privát aláíró kulcsát egy FIPS 140-2 2-es (vagy magasabb szintű) tanúsítvánnyal rendelkező készülék hozta létre és biztonságosan tárolja. eszköz, amelyről nem exportálható. Az a cselekmény, amely annak bizonyítására szolgál, hogy egy privát kulcs megfelel ezeknek a követelményeknek, az úgynevezett hitelesítés. A magánkulcs hitelesítésének pontos eljárásai az eszközök és a felhőalapú számítástechnikai platformok szerint változnak.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM A szolgáltatás jelenleg nem biztosít olyan eszközt, amellyel az SSL.com automatizálhatná a HSM-en generált kulcsok tanúsítását. Emiatt szükségünk van egy távolról megfigyelhető kulcspár-generálási ceremóniára, mielőtt dokumentum-aláíró és kódaláíró tanúsítványokat bocsáthatnánk ki az AWS CloudHSM-re történő telepítéshez. Ez a távtanúsítási eljárás külön díjat számít fel az SSL.com munkatársai által a ceremónián töltött időért.
A szertartás során az SSL.com munkatársai egy vagy több, nem exportálható magánkulcsú kriptográfiai kulcspár létrehozását figyelik meg CloudHSM-példányon videokonferencia-szoftver segítségével. Az ünnepséget követően az ügyfél benyújthatja az igazolás aláírási kérelmét (CSR) az SSL.com által történő aláírásra és kibocsátásra. Kérjük, olvassa el az Amazon-ot AWS CloudHSM dokumentáció mert CSR generációs utasításokat.
Az SSL.com díja az AWS CloudHSM kulcsgenerációs szertartásaiért 1200.00 USD.
Microsoft Azure dedikált HSM
Microsoft Azure dedikált HSM szolgáltatás a SafeNet Luna Network HSM 7 A790 HSM modellt használja. A Luna cmu a parancssori eszköz használható kriptográfiai kulcspár és igazolás-aláírási kérés generálására (CSR). Lásd Thalész Certificate Management Utility (CMU) dokumentáció a cmu hasznosság.
Amikor a kulcspárt generálja a cmu generációs kulcspár segédprogrammal, győződjön meg arról, hogy a privát kulcs nem kibontható ki (az alapértelmezett beállítás nem kibontható ki). Generálnia kell a CSR a ... val cmu kérelemigazolás parancs.
Miután létrehozta a kulcspárját és CSR, kérjen egy nyilvános kulcs megerősítő (PKC) fájlt az új kulcsokhoz a cmu getpkc parancs. Ezt a fájlt az SSL.com felhasználhatja annak megerősítésére, hogy a kulcspár kompatibilis hardveren jött létre, és a privát kulcs nem exportálható.
Miután létrehozta a kulcspárját, CSRés PKC fájlt, elküldheti a CSR és a PKC-t az SSL.com-ra érvényesítés és aláírás céljából.
Az SSL.com díja az Azure Dedicated HSM PKC megerősítéséért 500.00 USD.
- Azure dedikált HSM, amelyhez az SSL.com távoli hitelesítési szolgáltatásokat tud nyújtani. Hozd el a saját könyvvizsgálódat (BYOA) is használható az Azure dedikált HSM-szolgáltatásaihoz a biztosított SSL.com tanúsítvány helyett.
- Azure Key Vault által felügyelt HSM, amely nem biztosít távoli hitelesítést, és jelenleg nem tudjuk megfelelő módon tanúsítani közvetlenül hitelesítésszolgáltatóként. Bár elfogadjuk az Azure Key Vault által felügyelt HSM használatát, a megfelelő kulcsgenerálást auditálni kell, és egy minősített biztonsági szakembernek levélben kell tanúsítania, amely a BYOA folyamat.
Ha nem létezik minősített biztonsági tiszt a szervezetben, akkor külső tanúsító szolgáltatók is megbízhatók erre. Íme egy példa: https://spearit.net/services/remote-key-attestation
Google Cloud HSM
Google Felhő HSM szolgáltatás a Marvell (korábban Cavium) által gyártott eszközöket használja, amelyek aláírt tanúsító nyilatkozatokat tudnak készíteni a kriptográfiai kulcsokhoz, amelyeket az SSL.com ellenőrizni tud a dokumentum- vagy kódaláíró tanúsítványok kiadása előtt. Kérjük, olvassa el a Google-t Cloud Key Management dokumentáció a kulcspár és az igazolási nyilatkozat létrehozásakor:
Miután létrehozta a kulcspárját, CSR, és igazolási nyilatkozat, beküldheti őket az SSL.com-ra érvényesítésre és aláírásra. GitHub felhasználó mattok szolgáltatott egy nyílt forráskódú segédprogram létrehozásához a CSR és aláírja egy privát kulccsal a Google Cloud HSM-től.
Az SSL.com Google Cloud HSM tanúsítvány díja 500.00 USD.
Hozd el a saját könyvvizsgálódat (BYOA)
Az igazolásokat más képesített személyek is végezhetik, akik elismert kiberbiztonsági tanúsítvánnyal rendelkeznek. Ezt akkor nevezzük „Hozzon saját könyvvizsgálót”, ha a HSM tulajdonosa az SSL.com tanúsítási szolgáltatásaitól eltérő eszközöket használ a kulcsgeneráláshoz.
A BYOA opció bármilyen végrehajtásra használható A megfelelő HSM kulcsgenerálási ceremóniája (KGC) még azokra a HSM-ekre is, amelyekhez az SSL.com nem nyújt tanúsítási szolgáltatásokat.
BYOA alapos előkészítést igényel, ellenkező esetben jelentős a generált kulcs elutasításának kockázata. Ez akkor fordulhat elő, ha a használt eszköz nem megfelelő, a könyvvizsgáló nem rendelkezik képesítéssel, vagy a könyvvizsgálói jelentés nem fedi le a folyamat követelményeit. Ebben az esetben a szertartást meg kell ismételni, ami többletköltséget és késedelmet eredményez az ügyfél számára.
Az ilyen forgatókönyvek elkerülése érdekében az SSL.com ügyfélszolgálati és/vagy érvényesítési szakemberei kommunikálnak az ügyféllel, mielőtt KGC útmutatást adni és biztosítani a következőket:
- A könyvvizsgálót az alábbiakban ismertetett kritériumok szerint hagyják jóvá
- A ceremónia előkészületi követelményei, valamint a ceremónia forgatókönyve világosak és alaposan követik, hogy a KGC környezet megfelelően előkészítve legyen.
- A korlátozások és/vagy a BYOA-specifikus feltételek egyértelműek és az ügyfél által elfogadottak
A külső könyvvizsgálókra vonatkozó követelmények részletei itt található.
Cloud HSM árképzési szintek
A felhő HSM platformokra telepített tanúsítványok esetében az SSL.com a következő árazási szinteket kínálja, az évi maximális aláírások száma alapján.
| Állatok | Ár | Aláírások évente |
| Ingyenes szint | Alap tanúsítvány ára | 1,000 |
| Tier 1 | Alapár + 180.00 USD | 2,000 |
| Tier 2 | Alapár + 300.00 USD | 5,000 |
| Tier 3 | Alapár + 500.00 USD | 10,000 |
| Tier 4 | Kapcsolatot Sales | > 10,000 |
Felhő HSM szolgáltatás igénylőlap
Ha digitális tanúsítványokat szeretne rendelni egy támogatott felhő HSM platformra (AWS CloudHSM vagy Azure Dedicated HSM) történő telepítéshez, kérjük, töltse ki és küldje el az alábbi űrlapot. Miután megkaptuk kérelmét, az SSL.com munkatársa felveszi Önnel a kapcsolatot a rendelési és tanúsítási folyamat további részleteivel kapcsolatban.
Egyéb Cloud HSM platformok
Az SSL.com jelenleg fejleszti és teszteli a dokumentum-aláíró tanúsítványok kiállításának eljárásait a HSM szolgáltatások és hardverek széles körében. Ha szeretne tanúsítványt rendelni egy általunk még nem támogatott platformhoz, és szeretne frissítéseket kapni az általunk támogatott HSM-ekről, kérjük, töltse ki HSM érdeklődés űrlap.
További erőforrásokra van szüksége SSL.com-fiókjához? Nézze meg ezeket az oldalakat:
