SSL.com attualmente supporta AWS Cloud HSM, HSM dedicato per Azuree HSM di Google Cloud per l'emissione di certificati Adobe certificati di firma del documento e Certificati di firma codice EV. Tutti questi servizi HSM cloud forniscono hardware HSM convalidato FIPS 140-2 Livello 3 per la generazione e l'archiviazione delle chiavi di crittografia. Questa guida fornisce una panoramica della generazione di chiavi, dell'attestazione e dell'ordine di certificati per queste piattaforme HSM cloud e include informazioni sui prezzi per i certificati installati su HSM cloud.
Prima che SSL.com possa firmare ed emettere certificati di firma del codice EV o certificati di firma di documenti affidabili di Adobe, dobbiamo prima ottenere la prova che la chiave di firma privata del cliente è stata generata ed è archiviata in modo sicuro su un FIPS 140-2 Livello 2 (o superiore) dispositivo certificato, dal quale non può essere esportato. L'atto di dimostrare che una chiave privata soddisfa questi requisiti è noto come attestazione. Le procedure esatte per l'attestazione della chiave privata variano a seconda dei dispositivi e delle piattaforme di cloud computing.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM il servizio attualmente non fornisce alcun mezzo con cui SSL.com possa automatizzare l'attestazione delle chiavi generate sull'HSM. Per questo motivo, prima di poter emettere certificati di firma del documento e di firma del codice EV per l'installazione su AWS CloudHSM, è necessaria una cerimonia di generazione della coppia di chiavi assistita in remoto. Questa procedura di testimonianza remota comporterà un costo aggiuntivo per il tempo trascorso dallo staff di SSL.com alla cerimonia.
Durante la cerimonia, lo staff di SSL.com osserverà la generazione di una o più coppie di chiavi crittografiche con chiavi private non esportabili su un'istanza CloudHSM tramite software di videoconferenza. Dopo la cerimonia, il cliente può presentare una richiesta di firma del certificato (CSR) per la firma e l'emissione da parte di SSL.com. Si prega di fare riferimento a Amazon Documentazione di AWS CloudHSM per CSR istruzioni di generazione.
La tariffa di SSL.com per le cerimonie di generazione delle chiavi su AWS CloudHSM è di $ 1200.00 USD.
Microsoft Azure dedicato HSM
Microsoft HSM dedicato per Azure il servizio utilizza SafeNet Luna Network HSM 7 Modello A790 HSM. La luna cmu lo strumento da riga di comando può essere utilizzato per generare una coppia di chiavi crittografiche e una richiesta di firma del certificato (CSR) per la firma del documento o del codice EV, insieme alle informazioni richieste da SSL.com per l'attestazione. Si prega di fare riferimento a Thales ' Documentazione dell'utilità di gestione dei certificati (CMU) per istruzioni complete su come lavorare con cmu utilità.
Quando si genera la coppia di chiavi con il cmu genera coppia di chiavi utilità, accertarsi che la chiave privata non sia estraibile (l'impostazione predefinita non è estraibile). Dovresti generare il tuo CSR con il certificato di richiesta cmu comando.
Dopo aver generato la coppia di chiavi e CSR, richiedi un file di conferma della chiave pubblica (PKC) per le nuove chiavi con l'estensione cmu getpkc comando. Questo file può essere utilizzato da SSL.com per confermare che la coppia di chiavi è stata generata su hardware conforme e che la chiave privata non è esportabile.
Dopo aver generato la coppia di chiavi, CSRe file PKC, è possibile inviare il file CSR e PKC su SSL.com per la convalida e la firma.
La tariffa di SSL.com per la conferma PKC HSM dedicato di Azure è di $ 500.00 USD.
HSM di Google Cloud
Google HSM cloud Il servizio utilizza dispositivi prodotti da Marvell (ex Cavium), che possono produrre dichiarazioni di attestazione firmate per chiavi crittografiche che SSL.com può verificare prima di emettere certificati di firma del documento o di firma del codice EV. Si prega di fare riferimento a Google Documentazione di Cloud Key Management quando si genera la coppia di chiavi e la dichiarazione di attestazione:
Dopo aver generato la coppia di chiavi, CSRe dichiarazione di attestazione, è possibile inviarli a SSL.com per la convalida e la firma. Utente GitHub mascherini ha fornito un utilità open source per creare un file CSR e firmandolo con una chiave privata da Google Cloud HSM.
La tariffa di SSL.com per l'attestazione di Google Cloud HSM è di $ 500.00 USD.
Porta il tuo revisore (BYOA)
CIAO è una valida alternativa per i client, ma richiede una preparazione approfondita, altrimenti c'è un rischio significativo di rifiuto per la chiave generata. Ciò potrebbe accadere se il dispositivo utilizzato non è conforme, o l'auditor non è qualificato, o la relazione dell'auditor non copre i requisiti del processo. In tal caso, la cerimonia e la sua testimonianza devono essere ripetute, con conseguenti costi aggiuntivi e ritardi per il cliente.
Per evitare tali scenari, l'assistenza clienti e/o gli specialisti di convalida di SSL.com comunicano con il cliente prima del KGC per fornire indicazioni e garantire quanto segue:
- Il revisore è approvato secondo i criteri descritti di seguito
- I requisiti per la preparazione della cerimonia e lo script della cerimonia sono chiari e seguiti accuratamente, così come l'ambiente KGC è ben preparato
- Eventuali restrizioni e/o termini e condizioni specifici di BYOA sono chiari e accettati dal cliente
Livelli tariffari di Cloud HSM
Per i certificati installati su piattaforme HSM cloud, SSL.com offre i seguenti livelli di prezzo, in base al numero massimo di firme all'anno.
| Fila | Prezzo | Acquisti all'anno |
| Piano gratuito | Prezzo certificato di base | 1,000 |
| Tier 1 | Prezzo base + $ 180.00 | 2,000 |
| Tier 2 | Prezzo base + $ 300.00 | 5,000 |
| Tier 3 | Prezzo base + $ 500.00 | 10,000 |
| Tier 4 | Contatta l'ufficio vendite | > 10,000 |
Modulo di richiesta del servizio Cloud HSM
Se desideri ordinare certificati digitali per l'installazione su una piattaforma HSM cloud supportata (AWS CloudHSM o Azure Dedicated HSM), compila e invia il modulo sottostante. Dopo aver ricevuto la tua richiesta, un membro dello staff di SSL.com ti contatterà con maggiori dettagli sul processo di ordinazione e attestazione.
Altre piattaforme Cloud HSM
SSL.com sta attualmente sviluppando e testando procedure per l'emissione di certificati di firma di documenti su un'ampia gamma di servizi e hardware HSM. Se desideri esprimere interesse a ordinare certificati per una piattaforma che non supportiamo ancora e ricevere aggiornamenti sugli HSM che supportiamo, compila il nostro Modulo di richiesta HSM.
Hai bisogno di più risorse per il tuo account SSL.com? Dai un'occhiata a queste pagine:
