1年2023月XNUMX日より、SSL.comはコード署名証明書のキーストレージプロトコルを更新し、証明機関/ブラウザ(CA/B)フォーラムが発行した新しいガイドラインに準拠しています。今後は、秘密キーは暗号化されたUSBトークン、オンサイトのFIPS準拠ハードウェアセキュリティモジュール(HSM)、またはクラウドベースのHSMサービスで保護する必要があります。サポートされているクラウドHSMオプションの中で、Microsoft Azure Key Vault(プレミアムティア)は、秘密キーを保存し、証明書署名要求を生成するための堅牢な選択肢として際立っています(CSR秒)。
SSL.comで署名証明書を申請する場合、プロセスには証明書署名リクエスト(CSR)は、SSL.comがあなたのIDを検証し、署名証明書にバインドするための正式なリクエストとして機能します。次のセクションでは、 CSR Azure Key Vault (プレミアム レベル) で。
前提条件
- Azure Key Vault (プレミアム レベル)このプロセスで使用するAzure Key Vaultサービス層は プレミアム FIPS 140-2 レベル 3 認定済みであるためです。
- Azure Key Vault を作成する方法については、次のセクションを参照してください。 Azure Key Vault を作成する.
- 既に Azure Key Vault をお持ちの場合は、他のセクションに進んでください。 Azure Key Vault で証明書署名要求を生成します。
- SSL.com からの署名証明書の注文。
SSL.com がコード署名にサポートするクラウド HSM の完全なリストについては、この記事を参照してください。 ドキュメント署名とコード署名用にサポートされているクラウド HSM.
Azure Key Vault を作成する
- サインイン Azureのポータル.
- クリック リソースを作成する.
- にスクロールします キーボールト をクリックして 創造する リンクをクリックします。
- 下 の基礎 セクションで、次の操作を実行します。
- サブスクリプションとリソースグループを選択します必要に応じて、をクリックして新しいリソースグループを作成できます。 新しく作る.
- 名前と地域を割り当てるKey Vault の名前を指定し、リージョンを選択します。
- プレミアム価格帯を選択するFIPS 140-2 標準に準拠するには、「プレミアム」価格帯を選択します。
- 回復オプションを構成する削除されたコンテナーの消去保護や保持期間など、Key Vault の回復オプションを設定します。
- クリック 次へ ボタンをクリックして 構成設定にアクセスする のセクションから無料でダウンロードできます。
- クリック アクセス構成. KeyVaultのアクセスポリシーを設定します。
- クリック ネットワーキング. KeyVaultの接続方法を選択します。
- クリック タグ. 必要に応じて、KeyVaultのタグを作成します。
- し続ける レビュー+作成. レビュー 設定が完了したら、[作成] ボタンをクリックして新しい Key Vault を作成します。
- Azureは新しいKey Vaultを作成します。準備ができたら、 リソースに移動
Azure Key Vault で証明書署名要求を生成する
- キーボールトを選択してクリック 証明書.
- クリック 生成/インポート ボタンを押して 証明書を作成する 窓。
- 次のフィールドを完了します。
- 証明書作成方法: 「生成」を選択します。
- 証明書名: 証明書の一意の名前を入力します。
- 証明機関 (CA) の種類: 「統合されていない CA によって発行された証明書」を選択します。
- 件名: 証明書の X.509 識別名を指定します。
- 有効期間: デフォルトの12か月に設定しておくこともできます。有効期間が長いコード署名証明書の場合、発行される証明書は注文と一致し、 CSR.
- コンテンツ タイプ: 「PEM」を選択します。
- 生涯アクションタイプ: 証明書の有効期間の特定の割合または有効期限の特定の日数に基づいて電子メールアラートを送信するように Azure を構成します。
- 高度なポリシー構成. キーのサイズ、タイプ、およびキーの再利用とエクスポート可能性に関するポリシーを設定するには、「詳細ポリシー構成」をクリックします。
- SSL.comが発行した証明書の場合は、 拡張キー使用法(EKU), X.509キー使用フラグ, 証明書の透明性を有効にする デフォルト値のままです。
- 更新時にキーを再利用しますか? いいえを選択します。
- エクスポート可能な秘密鍵? いいえを選択します。
- キーの種類。 選択する RSA+HSM
- キーサイズコード署名証明書の場合、選択できるのは 3072 または 4096 のみです。
- 高度なポリシー設定の設定が完了したら、 OK ボタン、続いて 創造する.
- ソフトウェア設定ページで、下図のように 証明書 セクションで、証明書のリストを見つけます 進行中、失敗、またはキャンセル 証明書をクリックします。
- クリック 証明書の操作.
- クリック 無料ダウンロード CSR ファイルを安全な場所に保存します。