SSL.com ondersteunt momenteel AWS CloudHSM, Azure toegewezen HSM en Google Cloud-HSM voor uitgifte van door Adobe vertrouwd certificaten voor documentondertekening, IV/OV-codeondertekeningscertificaten en EV-handtekeningcertificaten. Al deze cloud-HSM-services bieden FIPS 140-2 Level 3 gevalideerde HSM-hardware voor het genereren en opslaan van encryptiesleutels. Deze handleiding biedt een overzicht van het genereren van sleutels, attesten en het bestellen van certificaten voor deze cloud-HSM-platforms, en bevat prijsinformatie voor certificaten die zijn geïnstalleerd op cloud-HSM's.
Voordat SSL.com codeondertekening of door Adobe vertrouwde documentondertekeningscertificaten kan ondertekenen en uitgeven, moeten we eerst bewijs verkrijgen dat de persoonlijke ondertekeningssleutel van de klant is gegenereerd door en veilig is opgeslagen op een FIPS 140-2 Level 2 (of hoger) gecertificeerd apparaat waarvan het niet kan worden geëxporteerd. Het bewijzen dat een privésleutel aan deze vereisten voldoet, staat bekend als getuigenis. De exacte procedures voor het bevestigen van een privésleutel variëren tussen apparaten en cloud computing-platforms.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) WolkHSM service biedt momenteel geen middelen waarmee SSL.com de attestatie van sleutels die op de HSM zijn gegenereerd, kan automatiseren. Om deze reden hebben we een op afstand waargenomen ceremonie voor het genereren van sleutelparen nodig voordat we certificaten voor documentondertekening en codeondertekening kunnen uitgeven voor installatie op AWS CloudHSM. Deze procedure voor het bijwonen van getuigen op afstand brengt extra kosten met zich mee voor de tijd die het personeel van SSL.com aan de ceremonie besteedt.
Tijdens de ceremonie zullen SSL.com-medewerkers het genereren van een of meer cryptografische sleutelparen met niet-exporteerbare privésleutels observeren op een CloudHSM-instantie via videoconferentiesoftware. Na de ceremonie kan de klant een verzoek tot ondertekening van een certificaat indienen (CSR) voor ondertekening en uitgifte door SSL.com. Raadpleeg die van Amazon AWS CloudHSM-documentatie voor CSR generatie instructies.
SSL.com's vergoeding voor sleutelgeneratieceremonies op AWS CloudHSM is $ 1200.00 USD.
Microsoft Azure-sleutelbeheeroplossingen
- Azure Key Vault (Premium-laag) en Azure Key Vault beheerde HSM die geen externe attestatie bieden en we kunnen momenteel niet rechtstreeks als CA op een conforme manier attesteren. Hoewel we het gebruik van Azure Key Vault Managed HSM accepteren, moet de conforme sleutelgeneratie worden gecontroleerd en geattesteerd in een brief van een gecertificeerde beveiligingsprofessional die gedetailleerd is in de BYOA-proces.
- Azure toegewezen HSM waarvoor SSL.com externe attestatiediensten kan leveren. Neem uw eigen accountant mee (BYOA) kan ook worden gebruikt voor Azure Key Vault en Azure Dedicated HSM-services in plaats van de geleverde SSL.com-attest.
Als er geen gecertificeerde beveiligingsfunctionaris in de organisatie aanwezig is, kunnen externe attesteringsdienstverleners worden ingeschakeld. Hier is een voorbeeld: https://spearit.net/services/remote-key-attestation
Microsoft's Azure toegewezen HSM service maakt gebruik van het SafeNet Luna Network HSM 7 Model A790 HSM. De Luna cmu
opdrachtregelprogramma kan worden gebruikt om een cryptografisch sleutelpaar en certificaatondertekeningsverzoek (CSR) voor documentondertekening of codeondertekening, samen met informatie vereist door SSL.com voor attestatie. Raadpleeg Thales' Certificate Management Utility (CMU) documentatie voor volledige instructies over het werken met de cmu
utility.
Bij het genereren van uw sleutelpaar met de cmu sleutelpaar genereren hulpprogramma, zorg ervoor dat de privésleutel niet kan worden geëxtraheerd (de standaardinstelling is niet-extraheerbaar). U moet uw CSR met de cmu-aanvraagcertificaat opdracht.
Na het genereren van uw sleutelpaar en CSR, vraagt u een PKC-bestand (Public Key Confirmation) aan voor de nieuwe sleutels met de cmu getpkc opdracht. Dit bestand kan door SSL.com worden gebruikt om te bevestigen dat het sleutelpaar is gegenereerd op compatibele hardware en dat de privésleutel niet kan worden geëxporteerd.
Nadat u uw sleutelpaar heeft gegenereerd, CSR, en PKC-bestand, kunt u het CSR en PKC naar SSL.com voor validatie en ondertekening.
De kosten van SSL.com voor Azure Dedicated HSM PKC-bevestiging bedragen $ 500.00 USD.
Google Cloud-HSM
Google Cloud-HSM service maakt gebruik van apparaten die zijn vervaardigd door Marvell (voorheen Cavium), die ondertekende attestverklaringen kunnen produceren voor cryptografische sleutels die SSL.com kan verifiëren voordat certificaten voor documentondertekening of codeondertekening worden uitgegeven. Raadpleeg die van Google Cloud Key Management-documentatie bij het genereren van uw sleutelpaar en attestverklaring:
Nadat u uw sleutelpaar heeft gegenereerd, CSR, en attestverklaring, kunt u ze indienen bij SSL.com voor validatie en ondertekening. GitHub-gebruiker mat heeft een open-source hulpprogramma voor het maken van een CSR en het ondertekenen met een privésleutel van Google Cloud HSM.
De vergoeding van SSL.com voor Google Cloud HSM-attest is $ 500.00 USD.
Breng je eigen auditor mee (BYOA)
Attesten kunnen ook worden uitgevoerd door andere gekwalificeerde personen met erkende cyberbeveiligingscertificeringen. We noemen dit "Bring Your Own Auditor" wanneer de eigenaar van de HSM andere middelen gebruikt voor het genereren van sleutels dan de attestservices van SSL.com.
De BYOA-optie kan worden gebruikt om alles uit te voeren Sleutelgeneratieceremonie (KGC) van een conforme HSM, zelfs voor die HSM's waarvoor SSL.com geen attestservices biedt.
BYOA vereist een grondige voorbereiding, anders is er een aanzienlijk risico op afwijzing van de gegenereerde sleutel. Dit kan gebeuren als het gebruikte apparaat niet conform is, de auditor niet gekwalificeerd is of het auditrapport de vereisten van het proces niet dekt. In een dergelijk geval zal de ceremonie moeten worden herhaald, wat resulteert in extra kosten en vertragingen voor de klant.
Om dergelijke scenario's te voorkomen, communiceren de klantenservice- en/of validatiespecialisten van SSL.com met de klant voordat de KGC begeleiding te bieden en het volgende te waarborgen:
- De auditor is goedgekeurd volgens de hieronder beschreven criteria
- De vereisten voor de voorbereiding van de ceremonie, evenals het script voor de ceremonie, zijn duidelijk en worden grondig gevolgd, zodat de KGC-omgeving goed is voorbereid
- Eventuele beperkingen en/of BYOA-specifieke voorwaarden zijn duidelijk en geaccepteerd door de klant
Details over vereisten voor externe accountants kan hier worden gevonden.
Cloud HSM-prijsniveaus
Voor certificaten die op HSM-cloudplatforms zijn geïnstalleerd, biedt SSL.com de volgende prijsniveaus, gebaseerd op het maximale aantal ondertekeningen per jaar.
rij | Prijs | Signings per jaar |
Gratis niveau | Basiscertificaatprijs | 1,000 |
Tier 1 | Basisprijs + $ 180.00 | 2,000 |
Tier 2 | Basisprijs + $ 300.00 | 5,000 |
Tier 3 | Basisprijs + $ 500.00 | 10,000 |
Tier 4 | Contact | > 10,000 |
Cloud HSM-serviceaanvraagformulier
Als u digitale certificaten wilt bestellen voor installatie op een ondersteund cloud-HSM-platform (AWS CloudHSM of Azure Dedicated HSM), vul dan het onderstaande formulier in en verzend het. Nadat we uw verzoek hebben ontvangen, zal een medewerker van SSL.com contact met u opnemen met meer informatie over het bestel- en attestatieproces.
Andere Cloud HSM-platforms
SSL.com ontwikkelt en test momenteel procedures voor de uitgifte van certificaten voor documentondertekening op een breed scala aan HSM-services en -hardware. Als u interesse wilt tonen in het bestellen van certificaten voor een platform dat we nog niet ondersteunen en updates wilt ontvangen over de HSM's die we ondersteunen, vul dan onze HSM-aanvraagformulier.
Heeft u meer bronnen nodig voor uw SSL.com-account? Bekijk deze pagina's: