Met ingang van 1 juni 2023 heeft SSL.com de belangrijkste opslagprotocollen voor codeondertekeningscertificaten bijgewerkt om te voldoen aan de nieuwe richtlijnen van het Certificate Authority/Browser (CA/B) Forum. Nu moeten privésleutels worden beveiligd in gecodeerde USB-tokens, on-site FIPS-compatibele hardwarebeveiligingsmodules (HSM) of via cloudgebaseerde HSM-services. Onder de ondersteunde cloud-HSM-opties onderscheidt Microsoft Azure Key Vault (Premium Tier) zich als een robuuste keuze voor het opslaan van privésleutels en het genereren van certificaatondertekeningsverzoeken (CSRs).
Wanneer u een ondertekeningscertificaat aanvraagt bij SSL.com, omvat het proces het genereren van een certificaatondertekeningsverzoek (CSR) dat dient als een formeel verzoek aan SSL.com om uw identiteit te valideren en aan een handtekeningcertificaat te koppelen. In de volgende secties wordt gedemonstreerd hoe u een CSR in Azure Key Vault (Premium-laag).
Voorwaarden
- Een Azure Key Vault (Premium-laag). De Azure Key Vault-servicelaag die voor dit proces moet worden gebruikt, is Premium omdat het FIPS 140-2 niveau 3 gevalideerd is.
- Raadpleeg de volgende sectie voor instructies over het maken van een Azure Key Vault: Maak een Azure Key Vault.
- Als u al een bestaande Azure Key Vault heeft, gaat u verder naar de andere sectie: Genereer een certificaatondertekeningsaanvraag in Azure Key Vault.
- Een handtekeningcertificaatbestelling bij SSL.com.
Raadpleeg dit artikel voor een volledige lijst met cloud-HSM's die SSL.com ondersteunt voor het ondertekenen van code: Ondersteunde cloud-HSM's voor documentondertekening en codeondertekening.
Maak een Azure Key Vault
- Log in bij de Azure-portal.
- Klik Maak een bron.
- Scroll naar Sleutel kluis En klik op de knop creëren link.
- Onder de De Basis sectie, voer dan het volgende uit.
- Selecteer het abonnement en de resourcegroep. Indien nodig kunt u een nieuwe resourcegroep maken door op te klikken Maak nieuwe.
- Wijs een naam en regio toe. Geef een naam op voor uw Key Vault en kies een regio.
- Kies voor het Premium-prijsniveau. Om te voldoen aan de FIPS 140-2-standaard, selecteert u het prijsniveau 'Premium'.
- Configureer herstelopties. Stel de herstelopties voor uw Key Vault in, inclusief opschoonbeveiliging en de bewaarperiode voor verwijderde kluizen.
- Klik op de Volgende knop om door te gaan naar de Toegang tot configuratie-instellingen pagina.
- Klik Toegangsconfiguratie. Stel het toegangsbeleid in voor uw Key Vault.
- Klik Netwerken. Kies een verbindingsmethode voor uw Key Vault.
- Klik Tags. Maak desgewenst tags voor uw Key Vault.
- Doorgaan naar Beoordelen + creëren. Beoordeling uw instellingen en klik vervolgens op de knop Maken om uw nieuwe Key Vault te maken.
- Azure maakt vervolgens uw nieuwe Key Vault. Zodra het klaar is, kunt u het openen door op te klikken Ga naar de bron knop.
Genereer een aanvraag voor certificaatondertekening in Azure Key Vault
- Selecteer uw sleutelkluis en klik Certificeringen.
- Klik op de Genereer / Import om het te openen Maak een certificaat aan venster.
- Voltooi de volgende velden:
- Methode voor het aanmaken van certificaten: Selecteer 'Genereren'.
- Certificaatnaam: Voer een unieke naam in voor uw certificaat.
- Type certificeringsinstantie (CA): Kies 'Certificaat uitgegeven door een niet-geïntegreerde CA'.
- Onderwerp: Geef de X.509 Distinguished Name op voor uw certificaat.
- Geldigheidsduur: U kunt deze standaard op 12 maanden laten staan. Voor Code Signing-certificaten met een langere geldigheidsperiode komt het uitgegeven certificaat overeen met uw bestelling, niet met de CSR.
- Inhoudstype: Selecteer 'PEM'.
- Levenslange actietype: Configureer Azure om e-mailwaarschuwingen te verzenden op basis van een bepaald percentage van de levensduur van het certificaat of een specifiek aantal dagen vóór de vervaldatum.
- Geavanceerde beleidsconfiguratie. Klik op Geavanceerde beleidsconfiguratie om de sleutelgrootte, het type en het beleid voor sleutelhergebruik en exporteerbaarheid in te stellen.
- Voor certificaten uitgegeven door SSL.com kunt u vertrekken Uitgebreid sleutelgebruik (EKU's), Vlaggen voor X.509-sleutelgebruik en Schakel Certificaattransparantie in op hun standaardwaarden.
- Sleutel hergebruiken bij verlenging? Selecteer Nee.
- Exporteerbare privésleutel? Selecteer Nee.
- Sleutel type. Kiezen RSA+HSM
- Sleutelgrootte. Voor een Code Signing-certificaat kunt u alleen kiezen tussen 3072 of 4096.
- Wanneer u klaar bent met het instellen van de Geavanceerde beleidsconfiguratie, klikt u op de OK knop, gevolgd door creëren.
- Op de Certificeringen sectie, zoek uw certificaat in de lijst met in uitvoering, mislukt of geannuleerd certificaten en klik erop.
- Klik Certificaatbewerking.
- Klik Download CSR en sla het bestand op een veilige locatie op.