Med virkning fra 1. juni 2023 har SSL.com oppdatert sine nøkkellagringsprotokoller for kodesigneringssertifikater for å overholde nye retningslinjer utstedt av Certificate Authority/Browser (CA/B) Forum. Nå må private nøkler sikres i krypterte USB-tokens, FIPS-kompatible maskinvaresikkerhetsmoduler (HSM) på stedet eller via skybaserte HSM-tjenester. Blant de støttede cloud HSM-alternativene skiller Microsoft Azure Key Vault (Premium Tier) seg ut som et robust valg for lagring av private nøkler og generering av sertifikatsigneringsforespørsler (CSRs).
Når du søker om et signeringssertifikat med SSL.com, inkluderer prosessen å generere en forespørsel om sertifikatsignering (CSR) som fungerer som en formell forespørsel til SSL.com om å validere og binde identiteten din til et signeringssertifikat. De følgende avsnittene viser hvordan du genererer en CSR i Azure Key Vault (Premium Tier).
Forutsetninger
- Et Azure Key Vault (Premium Tier). Azure Key Vault-tjenestenivået som skal brukes for denne prosessen er Premium fordi det er FIPS 140-2 nivå 3 validert.
- For instruksjoner om hvordan du oppretter et Azure Key Vault, se neste avsnitt: Opprett et Azure Key Vault.
- Hvis du allerede har et eksisterende Azure Key Vault, fortsett til den andre delen: Generer en forespørsel om sertifikatsignering i Azure Key Vault.
- En signeringssertifikatbestilling fra SSL.com.
For en fullstendig liste over sky-HSM-er som SSL.com støtter for kodesignering, se denne artikkelen: Støttede Cloud HSM-er for dokumentsignering og kodesignering.
Opprett et Azure Key Vault
- Logg deg på Azure portal.
- Klikk Lag en ressurs.
- Bla til Nøkkelhvelv og klikk på Opprett kobling.
- Under Grunnleggende utfør følgende.
- Velg abonnement og ressursgruppe. Om nødvendig kan du opprette en ny ressursgruppe ved å klikke Skape ny.
- Tildel et navn og en region. Oppgi et navn for nøkkelhvelvet og velg en region.
- Velg Premium-prisnivået. For å overholde FIPS 140-2-standarden, velg "Premium"-prisnivået.
- Konfigurer gjenopprettingsalternativer. Angi gjenopprettingsalternativene for nøkkelhvelvet, inkludert rensebeskyttelse og oppbevaringsperioden for slettede hvelv.
- Klikk på neste knappen for å fortsette til Få tilgang til konfigurasjonsinnstillinger seksjon.
- Klikk Få tilgang til konfigurasjon. Angi tilgangspolitikk for Key Vault.
- Klikk nettverk. Velg en tilkoblingsmetode for Key Vault.
- Klikk Tags. Hvis det er ønskelig, kan du lage koder for Key Vault.
- Fortsette å Gjennomgå + opprett. Anmeldelse innstillingene dine, og klikk deretter på Opprett-knappen for å lage ditt nye nøkkelhvelv.
- Azure vil deretter opprette ditt nye nøkkelhvelv. Når den er klar, kan du få tilgang til den ved å klikke på Gå til ressurs knapp.
Generer en forespørsel om sertifikatsignering i Azure Key Vault
- Velg nøkkelhvelvet og klikk sertifikater.
- Klikk på Generer / importer knappen for å åpne Lag et sertifikat vinduet.
- Utfør følgende felt:
- Metode for sertifikatoppretting: Velg "Generer".
- Sertifikatnavn: Skriv inn et unikt navn for sertifikatet ditt.
- Type sertifiseringsinstans (CA): Velg "Sertifikat utstedt av en ikke-integrert CA."
- emne: Oppgi X.509 Distinguished Name for sertifikatet ditt.
- Gyldighetsperiode: Du kan la dette settet til standarden på 12 måneder. For kodesigneringssertifikater med lengre gyldighetsperioder vil det utstedte sertifikatet samsvare med bestillingen din, ikke CSR.
- Innholdstype: Velg "PEM."
- Livsvarig handlingstype: Konfigurer Azure til å sende e-postvarsler basert på en viss prosentandel av sertifikatets levetid eller et spesifikt antall dager før utløp.
- Avansert politikkonfigurasjon. Klikk på Avansert policykonfigurasjon for å angi nøkkelstørrelse, type og retningslinjer for gjenbruk og eksporterbarhet av nøkkel.
- For sertifikater utstedt av SSL.com kan du forlate Utvidede nøkkelbruk (EKU), X.509 Nøkkelbruk Flaggog Aktiver sertifikatgjennomsiktighet på standardverdiene.
- Gjenbruke nøkkel ved fornyelse? Velg Nei.
- Eksporterbar privat nøkkel? Velg Nei.
- Nøkkel Type. Velg RSA+HSM
- Nøkkelstørrelse. For et kodesigneringssertifikat kan du kun velge mellom 3072 eller 4096.
- Når du er ferdig med å angi Advanced Policy Configuration, klikker du på OK knappen, etterfulgt av Opprett.
- På sertifikater seksjon, finn sertifikatet ditt i listen over pågår, mislyktes eller kansellert sertifikater og klikk på den.
- Klikk Sertifikatdrift.
- Klikk Last ned CSR og lagre filen på et sikkert sted.