SSL.com은 현재 AWS CloudHSM, Azure 전용 HSM및 구글 클라우드 HSM Adobe에서 신뢰하는 발행 문서 서명 인증서, IV/OV 코드 서명 인증서및 EV 코드 서명 인증서. 이러한 모든 클라우드 HSM 서비스는 암호화 키 생성 및 저장을 위해 FIPS 140-2 레벨 3 검증 HSM 하드웨어를 제공합니다. 이 가이드는 이러한 클라우드 HSM 플랫폼에 대한 키 생성, 증명 및 인증서 주문에 대한 개요를 제공하고 클라우드 HSM에 설치된 인증서에 대한 가격 정보를 포함합니다.
SSL.com이 코드 서명 또는 Adobe에서 신뢰할 수 있는 문서 서명 인증서에 서명하고 발급하려면 먼저 고객의 개인 서명 키가 FIPS 140-2 레벨 2(또는 그 이상) 인증에 의해 생성되고 안전하게 저장된다는 증거를 확보해야 합니다. 내보낼 수 없는 장치입니다. 개인 키가 이러한 요구 사항을 충족함을 증명하는 행위를 증명. 개인 키 증명을위한 정확한 절차는 장치와 클라우드 컴퓨팅 플랫폼에 따라 다릅니다.
아마존 웹 서비스(AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM 서비스는 현재 SSL.com이 HSM에서 생성된 키의 증명을 자동화할 수 있는 수단을 제공하지 않습니다. 이러한 이유로 AWS CloudHSM에 설치할 문서 서명 및 코드 서명 인증서를 발급하기 전에 원격으로 감시되는 키 쌍 생성 절차가 필요합니다. 이 원격 참회 절차는 SSL.com 직원이 행사에 소요한 시간에 대해 추가 요금이 부과됩니다.
행사 기간 동안 SSL.com 직원은 화상 회의 소프트웨어를 통해 CloudHSM 인스턴스에서 내보낼 수없는 개인 키가있는 하나 이상의 암호화 키 쌍이 생성되는 것을 관찰합니다. 행사가 끝난 후 고객은 인증서 서명 요청 (CSR) SSL.com에 의한 서명 및 발급 용. 아마존을 참조하십시오 AWS CloudHSM 설명서 for CSR 생성 지침.
AWS CloudHSM의 키 생성 행사에 대한 SSL.com의 수수료는 미화 1200.00 달러입니다.
Microsoft Azure 전용 HSM
마이크로 소프트 Azure 전용 HSM 서비스는 SafeNet Luna Network HSM 7 모델 A790 HSM을 사용합니다. 루나 cmu 명령 줄 도구를 사용하여 암호화 키 쌍 및 인증서 서명 요청 (CSR) 증명을 위해 SSL.com에서 요구하는 정보와 함께 문서 서명 또는 코드 서명을 위해. 탈레스'를 참조하십시오. CMU (인증서 관리 유틸리티) 설명서 작업에 대한 전체 지침은 cmu 유용.
키 쌍을 생성 할 때 cmu 생성 키 쌍 유틸리티에서 개인 키를 추출 할 수 없는지 확인하십시오 (기본 설정은 추출 할 수 없음). 당신은 당신의 CSR 와 더불어 cmu 요청 인증서 명령.
키 쌍을 생성 한 후 CSR, 새 키에 대한 공개 키 확인 (PKC) 파일을 cmu getpkc 명령. SSL.com에서이 파일을 사용하여 키 쌍이 호환 하드웨어에서 생성되었으며 개인 키를 내보낼 수 없음을 확인할 수 있습니다.
키 페어를 생성 한 후 CSR, PKC 파일을 제출할 수 있습니다. CSR 유효성 검사 및 서명을 위해 SSL.com에 대한 PKC.
Azure Dedicated HSM PKC 확인에 대한 SSL.com의 수수료는 미화 $ 500.00입니다.
- SSL.com이 원격 증명 서비스를 제공할 수 있는 Azure Dedicated HSM. 자신의 감사원을 데려오십시오 (BYOA)는 제공된 SSL.com 증명 대신 Azure Dedicated HSM 서비스에 사용할 수도 있습니다.
- Azure Key Vault 관리형 HSM은 원격 증명을 제공하지 않으며 현재 규정 준수 방식으로 CA로 직접 증명할 수 없습니다. Azure Key Vault 관리형 HSM 사용을 수락하는 동안 규정 준수 키 생성은 인증된 보안 전문가의 편지에서 감사 및 증명되어야 합니다. BOA 프로세스.
인증된 보안 담당자가 조직에 없는 경우 외부 증명 서비스 공급자를 고용할 수 있습니다. 다음은 한 가지 예입니다. https://spearit.net/services/remote-key-attestation
구글 클라우드 HSM
Google의 클라우드 HSM 서비스는 문서 서명 또는 코드 서명 인증서를 발급하기 전에 SSL.com이 확인할 수 있는 암호화 키에 대해 서명된 증명 문을 생성할 수 있는 Marvell(이전 Cavium)에서 제조한 장치를 사용합니다. Google의 Cloud Key Management 문서 키 쌍 및 증명 문을 생성 할 때 :
키 페어를 생성 한 후 CSR, 증명 문이 있으면 유효성 검사 및 서명을 위해 SSL.com에 제출할 수 있습니다. GitHub 사용자 매트 제공했다 오픈 소스 유틸리티 만들기 위해 CSR Google Cloud HSM의 비공개 키로 서명합니다.
Google Cloud HSM 증명에 대한 SSL.com의 수수료는 미화 $500.00입니다.
BYOA(Bring Your Own Auditor)
인증은 사이버 보안 인증을 인정한 다른 자격을 갖춘 개인이 수행할 수도 있습니다. HSM의 소유자가 SSL.com의 증명 서비스를 사용하지 않고 키 생성 증명을 위한 수단을 활용하는 경우 이를 "자신의 감사자 가져오기(Bring Your Own Auditor)"라고 합니다.
BYOA 옵션은 다음을 수행하는 데 사용할 수 있습니다. 해당 HSM에 대해서도 호환 HSM의 KGC(Key Generation Ceremony) SSL.com은 증명 서비스를 제공하지 않습니다.
뱌아 철저한 준비가 필요합니다. 그렇지 않으면 생성된 키가 거부될 위험이 큽니다. 이는 사용된 장치가 규정을 준수하지 않거나 감사자가 자격이 없거나 감사자의 보고서가 프로세스의 요구 사항을 다루지 않는 경우 발생할 수 있습니다. 이러한 경우에는 식을 반복해야 하므로 비용이 추가되고 고객에게 지연이 발생합니다.
이러한 시나리오를 방지하기 위해 SSL.com의 고객 지원 및/또는 검증 전문가는 KGC 지침을 제공하고 다음을 보장합니다.
- 감사인은 아래에 설명된 기준에 따라 승인됩니다.
- 예식 준비 요건과 예식 대본이 명확하고 철저하게 준수되어 KGC 환경이 적절하게 준비됩니다.
- 모든 제한 사항 및/또는 BYOA 관련 이용 약관이 명확하고 고객이 수락합니다.
외부감사인 요건 상세 여기에서 찾을 수 있습니다.
Cloud HSM 가격 책정 계층
클라우드 HSM 플랫폼에 설치된 인증서의 경우 SSL.com은 연간 최대 서명 수를 기준으로 다음과 같은 가격 책정 계층을 제공합니다.
| 층 | 가격 | 연간 서명 |
| 프리 티어 | 기본 인증서 가격 | 1,000 |
| 계층 1 | 기본 가격 + $ 180.00 | 2,000 |
| 계층 2 | 기본 가격 + $ 300.00 | 5,000 |
| 계층 3 | 기본 가격 + $ 500.00 | 10,000 |
| 계층 4 | 영업팀에 문의 | > 10,000 |
Cloud HSM 서비스 요청 양식
지원되는 클라우드 HSM 플랫폼(AWS CloudHSM 또는 Azure Dedicated HSM)에 설치할 디지털 인증서를 주문하려면 아래 양식을 작성하여 제출하십시오. 귀하의 요청을 받은 후 SSL.com 직원이 주문 및 증명 프로세스에 대한 자세한 내용을 알려 드릴 것입니다.
기타 Cloud HSM 플랫폼
SSL.com은 현재 광범위한 HSM 서비스 및 하드웨어에서 문서 서명 인증서 발급 절차를 개발 및 테스트하고 있습니다. 아직 지원하지 않는 플랫폼에 대한 인증서 주문에 대한 관심을 표명하고 지원하는 HSM에 대한 업데이트를 받으려면 다음을 작성하십시오. HSM 문의 양식.
SSL.com 계정에 더 많은 리소스가 필요하십니까? 다음 페이지를 확인하십시오.
