SSL.com attualmente supporta AWS Cloud HSM, HSM dedicato per Azuree HSM di Google Cloud per l'emissione di certificati Adobe certificati di firma del documento, Certificati di firma del codice IV/OVe Certificati di firma codice EV. Tutti questi servizi HSM cloud forniscono hardware HSM convalidato FIPS 140-2 Livello 3 per la generazione e l'archiviazione delle chiavi di crittografia. Questa guida fornisce una panoramica della generazione di chiavi, dell'attestazione e dell'ordine di certificati per queste piattaforme HSM cloud e include informazioni sui prezzi per i certificati installati su HSM cloud.
Prima che SSL.com possa firmare ed emettere certificati di firma del codice o certificati di firma di documenti attendibili da Adobe, dobbiamo prima ottenere la prova che la chiave di firma privata del cliente è stata generata e archiviata in modo sicuro su un certificato FIPS 140-2 Livello 2 (o superiore) dispositivo, da cui non può essere esportato. L'atto di dimostrare che una chiave privata soddisfa questi requisiti è noto come attestazione. Le procedure esatte per l'attestazione della chiave privata variano a seconda dei dispositivi e delle piattaforme di cloud computing.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM il servizio attualmente non fornisce alcun mezzo con cui SSL.com può automatizzare l'attestazione delle chiavi generate sull'HSM. Per questo motivo, richiediamo una cerimonia di generazione della coppia di chiavi assistita da remoto prima di poter emettere certificati di firma del documento e di firma del codice per l'installazione su AWS CloudHSM. Questa procedura di testimonianza a distanza comporterà un costo aggiuntivo per il tempo trascorso dallo staff di SSL.com durante la cerimonia.
Durante la cerimonia, lo staff di SSL.com osserverà la generazione di una o più coppie di chiavi crittografiche con chiavi private non esportabili su un'istanza CloudHSM tramite software di videoconferenza. Dopo la cerimonia, il cliente può presentare una richiesta di firma del certificato (CSR) per la firma e l'emissione da parte di SSL.com. Si prega di fare riferimento a Amazon Documentazione di AWS CloudHSM per CSR istruzioni di generazione.
La tariffa di SSL.com per le cerimonie di generazione delle chiavi su AWS CloudHSM è di $ 1200.00 USD.
Soluzioni di gestione delle chiavi di Microsoft Azure
- Azure Key Vault (livello Premium) esterni HSM gestito da Azure Key Vault che non forniscono attestazione remota e al momento non possiamo attestare direttamente come CA in modo conforme. Mentre accettiamo l'uso di Azure Key Vault Managed HSM, la generazione di chiavi conforme deve essere verificata e attestata in una lettera da un professionista della sicurezza certificato, che è dettagliato nel Processo BYOA.
- HSM dedicato per Azure per i quali SSL.com può fornire servizi di attestazione remota. Porta il tuo revisore dei conti (BYOA) può essere usato anche per Azure Key Vault e i servizi HSM dedicati di Azure al posto dell'attestazione SSL.com fornita.
Se nell'organizzazione non esiste un responsabile della sicurezza certificato, esistono fornitori di servizi di attestazione esterni che possono essere incaricati di farlo. Ecco un esempio: https://spearit.net/services/remote-key-attestation
Microsoft HSM dedicato per Azure il servizio utilizza SafeNet Luna Network HSM 7 Modello A790 HSM. La luna cmu
lo strumento da riga di comando può essere utilizzato per generare una coppia di chiavi crittografiche e una richiesta di firma del certificato (CSR) per la firma del documento o la firma del codice, insieme alle informazioni richieste da SSL.com per l'attestazione. Si prega di fare riferimento a Talete Documentazione dell'utilità di gestione dei certificati (CMU) per istruzioni complete su come lavorare con cmu
utilità.
Quando si genera la coppia di chiavi con il cmu genera coppia di chiavi utilità, accertarsi che la chiave privata non sia estraibile (l'impostazione predefinita non è estraibile). Dovresti generare il tuo CSR con la certificato di richiesta cmu comando.
Dopo aver generato la coppia di chiavi e CSR, richiedi un file di conferma della chiave pubblica (PKC) per le nuove chiavi con l'estensione cmu getpkc comando. Questo file può essere utilizzato da SSL.com per confermare che la coppia di chiavi è stata generata su hardware conforme e che la chiave privata non è esportabile.
Dopo aver generato la coppia di chiavi, CSRe file PKC, è possibile inviare il file CSR e PKC su SSL.com per la convalida e la firma.
La tariffa di SSL.com per la conferma PKC HSM dedicato di Azure è di $ 500.00 USD.
HSM di Google Cloud
Google HSM cloud Il servizio utilizza dispositivi prodotti da Marvell (precedentemente Cavium), che possono produrre dichiarazioni di attestazione firmate per chiavi crittografiche che SSL.com può verificare prima di emettere certificati di firma del documento o di firma del codice. Si prega di fare riferimento a Google Documentazione di Cloud Key Management quando si genera la coppia di chiavi e la dichiarazione di attestazione:
Dopo aver generato la coppia di chiavi, CSRe dichiarazione di attestazione, è possibile inviarli a SSL.com per la convalida e la firma. Utente GitHub mascherini ha fornito un utilità open source per creare un file CSR e firmandolo con una chiave privata da Google Cloud HSM.
La tariffa di SSL.com per l'attestazione di Google Cloud HSM è di $ 500.00 USD.
Porta il tuo revisore (BYOA)
Le attestazioni possono essere eseguite anche da altre persone qualificate che hanno riconosciute certificazioni di sicurezza informatica. Lo chiamiamo "Bring Your Own Auditor" quando il proprietario dell'HSM utilizza mezzi per l'attestazione della generazione di chiavi diversi dall'utilizzo dei servizi di attestazione di SSL.com.
L'opzione BYOA può essere utilizzata per eseguire qualsiasi operazione Cerimonia di generazione della chiave (KGC) di un HSM conforme anche per gli HSM per i quali SSL.com non fornisce servizi di attestazione.
CIAO richiede una preparazione approfondita, altrimenti esiste un rischio significativo di rifiuto per la chiave generata. Ciò potrebbe accadere se il dispositivo utilizzato non è conforme, l'auditor non è qualificato o la relazione dell'auditor non copre i requisiti del processo. In tal caso, la cerimonia dovrà essere ripetuta, con conseguenti costi aggiuntivi e ritardi per il cliente.
Per evitare tali scenari, l'assistenza clienti e/o gli specialisti di convalida di SSL.com comunicano con il cliente prima del KGC fornire indicazioni e garantire quanto segue:
- Il revisore è approvato secondo i criteri descritti di seguito
- I requisiti per i preparativi della cerimonia, così come il copione della cerimonia, sono chiari e seguiti scrupolosamente in modo che l'ambiente KGC sia adeguatamente preparato
- Eventuali restrizioni e/o termini e condizioni specifici di BYOA sono chiari e accettati dal cliente
Dettagli sui requisiti per i revisori esterni può essere trovato qui.
Livelli tariffari di Cloud HSM
Per i certificati installati su piattaforme HSM cloud, SSL.com offre i seguenti livelli di prezzo, in base al numero massimo di firme all'anno.
Fila | Prezzo | Acquisti all'anno |
Piano gratuito | Prezzo certificato di base | 1,000 |
Tier 1 | Prezzo base + $ 180.00 | 2,000 |
Tier 2 | Prezzo base + $ 300.00 | 5,000 |
Tier 3 | Prezzo base + $ 500.00 | 10,000 |
Tier 4 | Contatta l'ufficio vendite | > 10,000 |
Modulo di richiesta del servizio Cloud HSM
Se desideri ordinare certificati digitali per l'installazione su una piattaforma HSM cloud supportata (AWS CloudHSM o HSM dedicato di Azure), compila e invia il modulo sottostante. Dopo aver ricevuto la tua richiesta, un membro dello staff di SSL.com ti contatterà con maggiori dettagli sul processo di ordinazione e attestazione.
Altre piattaforme Cloud HSM
SSL.com sta attualmente sviluppando e testando procedure per l'emissione di certificati di firma di documenti su un'ampia gamma di servizi e hardware HSM. Se desideri esprimere interesse nell'ordinare certificati per una piattaforma che non supportiamo ancora e ricevere aggiornamenti sugli HSM che supportiamo, compila il nostro Modulo di richiesta HSM.
Hai bisogno di più risorse per il tuo account SSL.com? Dai un'occhiata a queste pagine: