SSL.comは現在サポートしています AWSクラウドHSM, Azure専用HSM, Google クラウド HSM アドビ信頼の発行のため ドキュメント署名証明書, IV/OV コード署名証明書, EVコード署名証明書. これらのクラウドHSMサービスはすべて、暗号化キーを生成および保存するためのFIPS140-2レベル3検証済みHSMハードウェアを提供します。 このガイドでは、これらのクラウドHSMプラットフォームのキー生成、認証、および証明書の注文の概要を説明し、クラウドHSMにインストールされている証明書の価格情報を示します。
SSL.com がコード署名証明書またはアドビの信頼できる文書署名証明書に署名して発行できるようにするには、まず顧客の秘密署名キーが FIPS 140-2 レベル 2 (またはそれ以上) 認定された証明書によって生成され、安全に保管されていることの証明を取得する必要があります。デバイスからエクスポートすることはできません。 秘密キーがこれらの要件を満たしていることを証明する行為は、 証明。 秘密鍵の証明の正確な手順は、デバイスとクラウドコンピューティングプラットフォームによって異なります。
アマゾンウェブサービス(AWS)CloudHSM
Amazon Webサービス(AWS) クラウドHSM このサービスは現在、SSL.com が HSM 上で生成されたキーの構成証明を自動化する手段を提供していません。 このため、AWS CloudHSM にインストールするためのドキュメント署名証明書とコード署名証明書を発行する前に、リモートで目撃されたキーペアの生成セレモニーが必要です。 この遠隔立会手続きでは、SSL.com スタッフが式典に費やした時間に対して追加料金が発生します。
式典中、SSL.comのスタッフは、ビデオ会議ソフトウェアを介して、CloudHSMインスタンス上でエクスポート不可能な秘密鍵を使用したXNUMXつ以上の暗号化鍵ペアの生成を観察します。 式典に続いて、顧客は証明書署名要求を提出することができます(CSR)SSL.comによる署名と発行。 アマゾンのを参照してください AWS CloudHSMのドキュメント for CSR 生成命令。
AWSCloudHSMでのキー生成セレモニーに対するSSL.comの料金は$ 1200.00USDです。
Microsoft Azure専用HSM
Microsoftの Azure専用HSM サービスはSafeNet Luna Network HSM 7モデルA790 HSMを使用します。 ルナ cmu コマンドラインツールを使用して、暗号化キーペアと証明書署名リクエスト(CSR) 文書署名またはコード署名のための情報と、SSL.com が証明のために必要とする情報。 タレスを参照してください。 証明書管理ユーティリティ(CMU)のドキュメント での作業の詳細な手順については cmu ユーティリティ。
でキーペアを生成するとき cmu 生成キーペア ユーティリティ、秘密キーが抽出可能でないことを確認してください(デフォルト設定は抽出不可能です)。 あなたはあなたを生成する必要があります CSR cmuリクエスト証明書
鍵ペアを生成した後 CSR、新しいキーの公開キー確認(PKC)ファイルをリクエストします cmu getpkc コマンド。 このファイルをSSL.comで使用して、キーペアが準拠ハードウェアで生成され、秘密キーがエクスポートできないことを確認できます。
鍵ペアを生成した後、 CSR、およびPKCファイルの場合、 CSR 検証と署名のためにSSL.comにPKCします。
Azure Dedicated HSMPKCの確認に対するSSL.comの料金は$ 500.00USDです。
- SSL.com がリモート構成証明サービスを提供できる Azure 専用 HSM。 自分の監査人を連れてくる (BYOA) は、提供される SSL.com 構成証明の代わりに Azure Dedicated HSM サービスにも使用できます。
- Azure Key Vault Managed HSM はリモート構成証明を提供せず、現在、準拠した方法で CA として直接構成証明することはできません。 Azure Key Vault Managed HSM の使用を受け入れますが、準拠したキーの生成は監査され、認定されたセキュリティ プロフェッショナルからの手紙で証明される必要があります。 BYOA プロセス.
認定されたセキュリティ担当者が組織に存在しない場合は、外部の認証サービス プロバイダーに依頼することができます。 以下に一例を示します。 https://spearit.net/services/remote-key-attestation
Google クラウド HSM
Googleの クラウドHSM このサービスは Marvell (旧 Cavium) によって製造されたデバイスを使用しており、SSL.com が文書署名またはコード署名証明書を発行する前に検証できる暗号キーの署名済み証明書ステートメントを生成できます。 Googleのを参照してください クラウドキー管理のドキュメント キーペアと認証ステートメントを生成する場合:
鍵ペアを生成した後、 CSR、および認証ステートメントを使用して、検証と署名のためにSSL.comに送信できます。 GitHubユーザー マット 提供しています オープンソースユーティリティ を作成するため CSR Google CloudHSMの秘密鍵を使用して署名します。
Google CloudHSM認証に対するSSL.comの料金は$ 500.00USDです。
自分の監査人を連れてくる(BYOA)
証明は、サイバーセキュリティ認定資格を認められた他の有資格者が行うこともできます。 HSM の所有者が SSL.com の認証サービスを使用する以外の方法で鍵生成認証を利用する場合、これを「Bring Your Own Auditor」と呼びます。
BYOA オプションを使用して、任意の 準拠している HSM のキー生成セレモニー (KGC) であっても、それらの HSM に対して SSL.com は認証サービスを提供していません。
BYOA そうしないと、生成されたキーが拒否される重大なリスクがあります。 これは、使用されているデバイスが準拠していない場合、監査人が資格を持っていない場合、または監査人のレポートがプロセスの要件をカバーしていない場合に発生する可能性があります。 そのような場合、セレモニーを繰り返す必要があり、クライアントにとって追加のコストと遅延が発生します。
このようなシナリオを回避するために、SSL.com のカスタマー サポートおよび/または検証スペシャリストは、 KGC ガイダンスを提供し、次のことを確認します。
- 監査人は、以下の基準に従って承認されます
- KGC環境が適切に準備されるように、セレモニーの準備要件とセレモニースクリプトは明確であり、徹底的に守られています
- 制限および/またはBYOA固有の契約条件は明確であり、お客様に受け入れられます
外部監査人の要件の詳細 ここで見つけることができます.
クラウドHSMの価格階層
クラウドHSMプラットフォームにインストールされた証明書の場合、SSL.comは、年間の最大署名数に基づいて、次の価格帯を提供します。
| 段 | 価格 | 年間の署名 |
| 無料利用枠 | 基本証明書価格 | 1,000 |
| ティア1 | 基本価格+ $ 180.00 | 2,000 |
| ティア2 | 基本価格+ $ 300.00 | 5,000 |
| ティア3 | 基本価格+ $ 500.00 | 10,000 |
| ティア4 | お問合せ | > 10,000 |
Cloud HSMサービスリクエストフォーム
サポートされているクラウド HSM プラットフォーム (AWS CloudHSM または Azure D dedicated HSM) にインストールするデジタル証明書を注文したい場合は、以下のフォームに記入して送信してください。 お客様のリクエストを受信した後、SSL.com のスタッフが注文と認証プロセスの詳細についてご連絡します。
その他のCloud HSMプラットフォーム
SSL.com は現在、さまざまな HSM サービスおよびハードウェア上で文書署名証明書を発行するための手順を開発およびテストしています。 当社がまだサポートしていないプラットフォーム用の証明書の注文に興味があり、サポートされている HSM に関する最新情報を受け取りたい場合は、次のフォームにご記入ください。 HSMお問い合わせフォーム.
SSL.comアカウントにさらにリソースが必要ですか? これらのページをチェックしてください:
