Generare una richiesta di firma del certificato in Azure Key Vault

A partire dal 1° giugno 2023, SSL.com ha aggiornato i suoi protocolli di archiviazione delle chiavi per i certificati di firma del codice per conformarsi alle nuove linee guida emesse dal Forum dell'autorità di certificazione/browser (CA/B). Ora, le chiavi private devono essere protette in token USB crittografati, moduli di sicurezza hardware (HSM) conformi a FIPS in loco o tramite servizi HSM basati su cloud. Tra le opzioni HSM cloud supportate, Microsoft Azure Key Vault (livello Premium) si distingue come una scelta affidabile per l'archiviazione di chiavi private e la generazione di richieste di firma di certificati (CSRs). 

Quando si richiede un certificato di firma con SSL.com, il processo include la generazione di una richiesta di firma del certificato (CSR) che funge da richiesta formale a SSL.com per convalidare e associare la tua identità a un certificato di firma. Le sezioni seguenti dimostrano come generare un file CSR in Azure Key Vault (livello Premium).

Prerequisiti

  1.  Un Azure Key Vault (livello Premium). Il livello di servizio Azure Key Vault da usare per questo processo è Premium perché è convalidato FIPS 140-2 Livello 3.
    1. Per istruzioni su come creare un Azure Key Vault, fare riferimento alla sezione successiva: Creare un Azure Key Vault.
    2. Se si dispone già di un Azure Key Vault esistente, passare all'altra sezione: Generare una richiesta di firma del certificato in Azure Key Vault.
  2. Un ordine di certificato di firma da SSL.com. 
Per un elenco completo degli HSM cloud supportati da SSL.com per la firma del codice, fare riferimento a questo articolo: HSM cloud supportati per la firma di documenti e la firma di codice.

Creare un Azure Key Vault

  1. Accedi al Portale di Azure.

  2. Clicchi Crea una risorsa.
  3. Scorrere fino a Cassaforte delle chiavi e fare clic sul Creare collegamento.

  4. Sotto il Basics sezione, eseguire quanto segue.
    1. Seleziona la sottoscrizione e il gruppo di risorse. Se necessario, puoi creare un nuovo gruppo di risorse facendo clic su Creare nuovo.
    2. Assegna un nome e una regione. Fornire un nome per Key Vault e scegliere un'area.
    3. Optare per il livello di prezzo Premium. Per conformarsi allo standard FIPS 140-2, seleziona il livello di prezzo "Premium".
    4. Configura le opzioni di ripristino. Impostare le opzioni di ripristino per Key Vault, tra cui la protezione da eliminazione e il periodo di conservazione per gli insieme di credenziali eliminati.
    5. Clicca su Avanti pulsante per procedere al Accedi alle Impostazioni di configurazione .

  5. Clicchi Accedere alla configurazione. Imposta i criteri di accesso per Key Vault.
  6. Clicchi Networking. Scegli un metodo di connettività per Key Vault.
  7. Clicchi tag. Se lo desideri, crea tag per Key Vault.

  8. Continuare a Rivedi + crea. Review le impostazioni, quindi fare clic sul pulsante Crea per creare il nuovo Key Vault.

  9. Azure creerà quindi il nuovo Key Vault. Una volta pronto, puoi accedervi facendo clic su Vai alla risorsa pulsante.

Generare una richiesta di firma del certificato in Azure Key Vault

  1. Selezionare l'insieme di credenziali delle chiavi e fare clic Certificati.

  2. Clicca su Genera / Importa pulsante per aprire il Crea un certificato finestra.

  3. Compila i seguenti campi:
    1. Metodo di creazione del certificato: Seleziona "Genera".
    2. Nome del certificato: Inserisci un nome univoco per il tuo certificato.
    3. Tipo di Autorità di Certificazione (CA): Scegli "Certificato rilasciato da una CA non integrata".
    4. Oggetto: Fornisci il nome distinto X.509 per il tuo certificato.
    5. Periodo di validità: Puoi lasciare l'impostazione predefinita di 12 mesi. Per i certificati di firma del codice con periodi di validità più lunghi, il certificato emesso corrisponderà al tuo ordine, non a quello CSR.
    6. Tipo di contenuto: Seleziona "PEM".
    7. Tipo di azione a vita: Configura Azure per inviare avvisi tramite posta elettronica in base a una determinata percentuale della durata del certificato o a un numero specifico di giorni prima della scadenza.
  4. Configurazione avanzata dei criteri. Fare clic su Configurazione avanzata delle policy per impostare la dimensione, il tipo e le policy della chiave per il riutilizzo e l'esportabilità della chiave.
    1. Per i certificati emessi da SSL.com, puoi uscire Usi chiave estesi (EKU), Flag di utilizzo chiave X.509e Abilita la trasparenza del certificato ai valori predefiniti.
    2. Riutilizzare la chiave in caso di rinnovo? Seleziona n.
    3. Chiave privata esportabile? Seleziona n.
    4. Tipo chiave. Selezionare RSA+HSM
    5. Dimensione chiave. Per un certificato di firma del codice puoi scegliere solo tra 3072 o 4096.

  5.  Una volta terminata l'impostazione della configurazione avanzata dei criteri, fare clic su OK pulsante, seguito da Creare.

  6. Sulla Certificati sezione, individuare il certificato nell'elenco di in corso, fallito o annullato certificati e fare clic su di esso.
  7. Clicchi Operazione con certificato.

  8. Clicchi Scaricare CSR e salvare il file in un luogo sicuro.

Invia la richiesta di firma del certificato (CSR) a SSL.com 

Il scaricato CSR file will be submitted to the SSL.com agent assigned to the subscriber. Insieme con il CSR file, the subscriber must also submit the Auditor Attestation Form. The template for the form can be downloaded from this article: Guida Bring Your Own Auditor (BYOA) per l'attestazione della generazione di chiavi private. After this, the process will proceed to verification of the documents submitted. The SSL.com agent assigned to the subscriber will provide updates up until the signing certificate is ready for issuance.

Iscriviti alla newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.