Støttede Cloud HSM-er for dokumentsignering og kodesignering

SSL.com støtter for øyeblikket AWS CloudHSM, Azure dedikert HSMog Google Cloud HSM for utstedelse av Adobe-klarert dokument signeringssertifikater, IV/OV-kodesigneringssertifikaterog EV-kode signeringssertifikater. Alle disse HSM-tjenestene i skyen gir FIPS 140-2 nivå 3-validert HSM-maskinvare for å generere og lagre krypteringsnøkler. Denne veiledningen gir en oversikt over nøkkelgenerering, attestering og sertifikatbestilling for disse HSM-plattformene i skyen, og inkluderer prisinformasjon for sertifikater som er installert på HSM-er i skyen.

Hva er attest?
Før SSL.com kan signere og utstede kodesignering eller Adobe-klarerte dokumentsigneringssertifikater, må vi først innhente bevis på at kundens private signeringsnøkkel er generert av og er sikkert lagret på en FIPS 140-2 Level 2 (eller høyere) sertifisert enhet, som den ikke kan eksporteres fra. Handlingen med å bevise at en privat nøkkel oppfyller disse kravene er kjent som attestasjon. De nøyaktige prosedyrene for attestering av privatnøkkel varierer mellom enheter og databehandlingsplattformer i skyen.

Amazon Web Services (AWS) CloudHSM

Amazon Web Services (AWS) CloudHSM tjenesten gir for øyeblikket ingen midler som SSL.com kan automatisere attestering av nøkler generert på HSM. Av denne grunn krever vi en eksternt bevitnet nøkkelpargenereringsseremoni før vi kan utstede dokumentsignerings- og kodesigneringssertifikater for installasjon på AWS CloudHSM. Denne fjernvitneprosedyren vil medføre en ekstra kostnad for tid brukt av SSL.com-ansatte på seremonien.

Under seremonien vil SSL.com-ansatte observere genereringen av ett eller flere kryptografiske nøkkelpar med ikke-eksporterbare private nøkler i en CloudHSM-forekomst via videokonferanseprogramvare. Etter seremonien kan kunden sende inn en forespørsel om signering av sertifikat (CSR) for signering og utstedelse av SSL.com. Se Amazon's AWS CloudHSM-dokumentasjon forum CSR generasjonsinstruksjoner.

SSL.coms avgift for nøkkelgenerasjon på AWS CloudHSM er $ 1200.00 USD.

Microsoft Azure dedikert HSM

Microsofts Azure dedikert HSM tjenesten bruker SafeNet Luna Network HSM 7 Model A790 HSM. The Luna cmu kommandolinjeverktøyet kan brukes til å generere et kryptografisk nøkkelpar og en sertifikatsigneringsforespørsel (CSR) for dokumentsignering eller kodesignering, sammen med informasjon som kreves av SSL.com for attestering. Vennligst se Thales' Certificate Management Utility (CMU) dokumentasjon for fullstendige instruksjoner om hvordan du arbeider med cmu nytte.

Når du genererer nøkkelparet ditt med cmu generasjonspar verktøyet, vær sikker på at den private nøkkelen ikke kan trekkes ut (standardinnstillingen kan ikke trekkes ut). Du bør generere din CSR med cmu forespørselsattest kommando.

Etter å ha generert nøkkelparet ditt og CSR, be om en offentlig nøkkelbekreftelsesfil (PKC) for de nye nøklene med cmu getpkc kommando. Denne filen kan brukes av SSL.com for å bekrefte at nøkkelparet ble generert på kompatibel maskinvare og at den private nøkkelen ikke kan eksporteres.

Etter å ha generert nøkkelparet ditt, CSRog PKC-fil, kan du sende inn CSR og PKC til SSL.com for validering og signering.

SSL.coms avgift for Azure Dedikert HSM PKC-bekreftelse er $ 500.00 USD.

Det er tre typer Azure-nøkkeladministrasjonsløsninger som SSL.com kan bruke for å signere sertifikater:

  • Azure Key Vault (Premium Tier) og Azure-dedikert HSM som SSL.com kan tilby eksterne attesteringstjenester for. Ta med egen revisor (BYOA) kan også brukes for Azure Key Vault og Azure Dedicated HSM-tjenester i stedet for SSL.com-attestering. 
  • Azure Key Vault Managed HSM som ikke gir ekstern attestering og vi for øyeblikket ikke kan attestere direkte som en CA på en kompatibel måte. Selv om vi godtar bruken av Azure Key Vault Managed HSM, må den kompatible nøkkelgenereringen revideres og attesteres i et brev fra en sertifisert sikkerhetsekspert som er beskrevet i BYOA-prosess.

Hvis det ikke finnes en sertifisert sikkerhetsansvarlig i organisasjonen, er det eksterne attestasjonstjenesteleverandører som kan engasjeres for å gjøre det. Her er ett eksempel: https://spearit.net/services/remote-key-attestation

Google Cloud HSM

Googles Cloud HSM tjenesten bruker enheter produsert av Marvell (tidligere Cavium), som kan produsere signerte attestasjonserklæringer for kryptografiske nøkler som SSL.com kan verifisere før utstedelse av dokumentsignering eller kodesigneringssertifikater. Vennligst se Googles Dokumentasjon for Cloud Key Management når du genererer nøkkelparet og attesterklæringen:

Etter å ha generert nøkkelparet ditt, CSR, og attesterklæring, kan du sende dem til SSL.com for validering og signering. GitHub-bruker matter har gitt en open source-verktøy for å lage en CSR og signere den med en privat nøkkel fra Google Cloud HSM.

SSL.coms gebyr for Google Cloud HSM-attest er $500.00 USD.

Ta med din egen revisor (BYOA)

Attester kan også utføres av andre kvalifiserte personer som har anerkjente cybersikkerhetssertifiseringer. Vi kaller dette "Bring Your Own Auditor" når eieren av HSM bruker andre midler for nøkkelgenerering enn å bruke SSL.coms attestasjonstjenester. 

BYOA-alternativet kan brukes til å utføre alle Key Generation Ceremony (KGC) av en kompatibel HSM selv for de HSM-ene SSL.com ikke tilbyr attestasjonstjenester for. 

BYOA krever grundig forberedelse, ellers er det en betydelig risiko for avvisning for den genererte nøkkelen. Dette kan skje hvis enheten som brukes ikke er kompatibel, revisor ikke er kvalifisert, eller revisors rapport ikke dekker prosessens krav. I et slikt tilfelle vil seremonien måtte gjentas, noe som medfører ekstra kostnader og forsinkelser for klienten. 

For å unngå slike scenarier kommuniserer SSL.coms kundestøtte- og/eller valideringsspesialister med kunden før KGC å gi veiledning og sikre følgende:

  • Revisor er godkjent etter kriteriene beskrevet nedenfor
  • Kravene til seremoniforberedelsene, så vel som seremonimanuset, er klare og følges grundig slik at KGC-miljøet er ordentlig forberedt
  • Eventuelle restriksjoner og/eller BYOA-spesifikke vilkår og betingelser er klare og akseptert av kunden

Detaljer om krav til ekstern revisor finner du her.

Cloud HSM-prisnivåer

For sertifikater installert på HSM-plattformer i skyen, tilbyr SSL.com følgende prisnivåer, basert på maksimalt antall signeringer per år.

Nivået Pris Signeringer per år
Gratis nivå Basissertifikatpris 1,000
Tier 1 Basispris + $ 180.00 2,000
Tier 2 Basispris + $ 300.00 5,000
Tier 3 Basispris + $ 500.00 10,000
Tier 4 Kontakt salgsavdelingen > 10,000

Skjema for forespørsel om sky HSM-tjenester

Hvis du ønsker å bestille digitale sertifikater for installasjon på en støttet cloud HSM-plattform (AWS CloudHSM eller Azure Dedicated HSM), vennligst fyll ut og send inn skjemaet nedenfor. Etter at vi har mottatt forespørselen din, vil et medlem av SSL.coms ansatte kontakte deg med flere detaljer om bestillings- og attestasjonsprosessen.

Andre Cloud HSM-plattformer

SSL.com utvikler og tester prosedyrer for utstedelse av dokumentsigneringssertifikater på et bredt spekter av HSM-tjenester og maskinvare. Hvis du ønsker å uttrykke interesse for å bestille sertifikater for en plattform vi ennå ikke støtter og mottar oppdateringer om HSM-ene vi støtter, vennligst fyll ut vår HSM forespørselsskjema.

Trenger du flere ressurser til SSL.com-kontoen din? Sjekk ut disse sidene: 

Twitter
Facebook
Linkedin
Reddit
Epost

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.