Ondersteunde cloud-HSM's voor documentondertekening en codeondertekening

SSL.com ondersteunt momenteel AWS CloudHSM, Azure toegewezen HSM en Google Cloud-HSM voor uitgifte van door Adobe vertrouwd certificaten voor documentondertekening, IV/OV-codeondertekeningscertificaten en EV-handtekeningcertificaten. Al deze cloud-HSM-services bieden FIPS 140-2 Level 3 gevalideerde HSM-hardware voor het genereren en opslaan van encryptiesleutels. Deze handleiding biedt een overzicht van het genereren van sleutels, attesten en het bestellen van certificaten voor deze cloud-HSM-platforms, en bevat prijsinformatie voor certificaten die zijn geïnstalleerd op cloud-HSM's.

Wat is attestatie?
Voordat SSL.com codeondertekening of door Adobe vertrouwde documentondertekeningscertificaten kan ondertekenen en uitgeven, moeten we eerst bewijs verkrijgen dat de persoonlijke ondertekeningssleutel van de klant is gegenereerd door en veilig is opgeslagen op een FIPS 140-2 Level 2 (of hoger) gecertificeerd apparaat waarvan het niet kan worden geëxporteerd. Het bewijzen dat een privésleutel aan deze vereisten voldoet, staat bekend als getuigenis. De exacte procedures voor het bevestigen van een privésleutel variëren tussen apparaten en cloud computing-platforms.

Amazon Web Services (AWS) CloudHSM

Amazon Web Services (AWS) WolkHSM service biedt momenteel geen middelen waarmee SSL.com de attestatie van sleutels die op de HSM zijn gegenereerd, kan automatiseren. Om deze reden hebben we een op afstand waargenomen ceremonie voor het genereren van sleutelparen nodig voordat we certificaten voor documentondertekening en codeondertekening kunnen uitgeven voor installatie op AWS CloudHSM. Deze procedure voor het bijwonen van getuigen op afstand brengt extra kosten met zich mee voor de tijd die het personeel van SSL.com aan de ceremonie besteedt.

Tijdens de ceremonie zullen SSL.com-medewerkers het genereren van een of meer cryptografische sleutelparen met niet-exporteerbare privésleutels observeren op een CloudHSM-instantie via videoconferentiesoftware. Na de ceremonie kan de klant een verzoek tot ondertekening van een certificaat indienen (CSR) voor ondertekening en uitgifte door SSL.com. Raadpleeg die van Amazon AWS CloudHSM-documentatie voor CSR generatie instructies.

SSL.com's vergoeding voor sleutelgeneratieceremonies op AWS CloudHSM is $ 1200.00 USD.

Microsoft Azure toegewezen HSM

Microsoft's Azure toegewezen HSM service maakt gebruik van het SafeNet Luna Network HSM 7 Model A790 HSM. De Luna cmu opdrachtregelprogramma kan worden gebruikt om een ​​cryptografisch sleutelpaar en certificaatondertekeningsverzoek (CSR) voor documentondertekening of codeondertekening, samen met informatie vereist door SSL.com voor attestatie. Raadpleeg Thales' Certificate Management Utility (CMU) documentatie voor volledige instructies over het werken met de cmu utility.

Bij het genereren van uw sleutelpaar met de cmu sleutelpaar genereren hulpprogramma, zorg ervoor dat de privésleutel niet kan worden geëxtraheerd (de standaardinstelling is niet-extraheerbaar). U moet uw CSR met de cmu-aanvraagcertificaat opdracht.

Na het genereren van uw sleutelpaar en CSR, vraagt ​​u een PKC-bestand (Public Key Confirmation) aan voor de nieuwe sleutels met de cmu getpkc opdracht. Dit bestand kan door SSL.com worden gebruikt om te bevestigen dat het sleutelpaar is gegenereerd op compatibele hardware en dat de privésleutel niet kan worden geëxporteerd.

Nadat u uw sleutelpaar heeft gegenereerd, CSR, en PKC-bestand, kunt u het CSR en PKC naar SSL.com voor validatie en ondertekening.

De kosten van SSL.com voor Azure Dedicated HSM PKC-bevestiging bedragen $ 500.00 USD.

Er zijn drie typen Azure-sleutelbeheeroplossingen die SSL.com kan gebruiken voor het ondertekenen van certificaten:

Azure Key Vault (Premium-laag) en Azure Dedicated HSM waarvoor SSL.com attestationservices op afstand kan bieden. Neem uw eigen accountant mee (BYOA) kan ook worden gebruikt voor Azure Key Vault en Azure Dedicated HSM-services in plaats van de geleverde SSL.com-attest. 

Azure Key Vault beheerde HSM die geen attest op afstand biedt en we kunnen momenteel niet rechtstreeks als CA op een conforme manier bevestigen. Hoewel we het gebruik van Azure Key Vault Managed HSM accepteren, moet de conforme sleutelgeneratie worden gecontroleerd en bevestigd in een brief van een gecertificeerde beveiligingsprofessional die wordt beschreven in de BYOA-proces.

Als er geen gecertificeerde beveiligingsfunctionaris in de organisatie aanwezig is, kunnen externe attesteringsdienstverleners worden ingeschakeld. Hier is een voorbeeld: https://spearit.net/services/remote-key-attestation

Google Cloud-HSM

Google Cloud-HSM service maakt gebruik van apparaten die zijn vervaardigd door Marvell (voorheen Cavium), die ondertekende attestverklaringen kunnen produceren voor cryptografische sleutels die SSL.com kan verifiëren voordat certificaten voor documentondertekening of codeondertekening worden uitgegeven. Raadpleeg die van Google Cloud Key Management-documentatie bij het genereren van uw sleutelpaar en attestverklaring:

Nadat u uw sleutelpaar heeft gegenereerd, CSR, en attestverklaring, kunt u ze indienen bij SSL.com voor validatie en ondertekening. GitHub-gebruiker mat heeft een open-source hulpprogramma voor het maken van een CSR en het ondertekenen met een privésleutel van Google Cloud HSM.

De vergoeding van SSL.com voor Google Cloud HSM-attest is $ 500.00 USD.

Breng je eigen auditor mee (BYOA)

Attesten kunnen ook worden uitgevoerd door andere gekwalificeerde personen met erkende cyberbeveiligingscertificeringen. We noemen dit "Bring Your Own Auditor" wanneer de eigenaar van de HSM andere middelen gebruikt voor het genereren van sleutels dan de attestservices van SSL.com. 

De BYOA-optie kan worden gebruikt om alles uit te voeren Sleutelgeneratieceremonie (KGC) van een conforme HSM, zelfs voor die HSM's waarvoor SSL.com geen attestservices biedt. 

BYOA vereist een grondige voorbereiding, anders is er een aanzienlijk risico op afwijzing van de gegenereerde sleutel. Dit kan gebeuren als het gebruikte apparaat niet conform is, de auditor niet gekwalificeerd is of het auditrapport de vereisten van het proces niet dekt. In een dergelijk geval zal de ceremonie moeten worden herhaald, wat resulteert in extra kosten en vertragingen voor de klant. 

Om dergelijke scenario's te voorkomen, communiceren de klantenservice- en/of validatiespecialisten van SSL.com met de klant voordat de KGC begeleiding te bieden en het volgende te waarborgen:

  • De auditor is goedgekeurd volgens de hieronder beschreven criteria
  • De vereisten voor de voorbereiding van de ceremonie, evenals het script voor de ceremonie, zijn duidelijk en worden grondig gevolgd, zodat de KGC-omgeving goed is voorbereid
  • Eventuele beperkingen en/of BYOA-specifieke voorwaarden zijn duidelijk en geaccepteerd door de klant

Details over vereisten voor externe accountants kan hier worden gevonden.

Cloud HSM-prijsniveaus

Voor certificaten die op HSM-cloudplatforms zijn geïnstalleerd, biedt SSL.com de volgende prijsniveaus, gebaseerd op het maximale aantal ondertekeningen per jaar.

rij Prijs Signings per jaar
Gratis niveau Basiscertificaatprijs 1,000
Tier 1 Basisprijs + $ 180.00 2,000
Tier 2 Basisprijs + $ 300.00 5,000
Tier 3 Basisprijs + $ 500.00 10,000
Tier 4 Contact > 10,000

Cloud HSM-serviceaanvraagformulier

Als u digitale certificaten wilt bestellen voor installatie op een ondersteund cloud-HSM-platform (AWS CloudHSM of Azure Dedicated HSM), vul dan het onderstaande formulier in en verzend het. Nadat we uw verzoek hebben ontvangen, zal een medewerker van SSL.com contact met u opnemen met meer informatie over het bestel- en attestatieproces.

Andere Cloud HSM-platforms

SSL.com ontwikkelt en test momenteel procedures voor de uitgifte van certificaten voor documentondertekening op een breed scala aan HSM-services en -hardware. Als u interesse wilt tonen in het bestellen van certificaten voor een platform dat we nog niet ondersteunen en updates wilt ontvangen over de HSM's die we ondersteunen, vul dan onze HSM-aanvraagformulier.

Heeft u meer bronnen nodig voor uw SSL.com-account? Bekijk deze pagina's: 

Twitter
Facebook
LinkedIn
Reddit
E-mail

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.