SSL.com støtter for øyeblikket AWS CloudHSM, Azure dedikert HSMog Google Cloud HSM for utstedelse av Adobe-klarert dokument signeringssertifikater og EV-kode signeringssertifikater. Alle disse HSM-tjenestene i skyen gir FIPS 140-2 nivå 3-validert HSM-maskinvare for å generere og lagre krypteringsnøkler. Denne veiledningen gir en oversikt over nøkkelgenerering, attestering og sertifikatbestilling for disse HSM-plattformene i skyen, og inkluderer prisinformasjon for sertifikater som er installert på HSM-er i skyen.
Før SSL.com kan signere og utstede EV-kodesignering eller Adobe-pålitelige dokumentsigneringssertifikater, må vi først skaffe oss bevis på at kundens private signeringsnøkkel er generert av og er sikkert lagret på FIPS 140-2 nivå 2 (eller høyere) sertifisert enhet, som den ikke kan eksporteres fra. Handlingen med å bevise at en privat nøkkel oppfyller disse kravene er kjent som attestasjon. De nøyaktige prosedyrene for attestering av privatnøkkel varierer mellom enheter og databehandlingsplattformer i skyen.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM tjenesten gir for øyeblikket ingen midler som SSL.com kan automatisere attestering av nøkler generert på HSM. Av denne grunn krever vi en ekstern generasjonsseremoni for nøkkelpar før vi kan utstede dokumentsigneringssertifikater og EV-kodesigneringssertifikater for installasjon på AWS CloudHSM. Denne fjernvitneprosedyren medfører en ekstra kostnad for tiden som SSL.com-ansatte bruker på seremonien.
Under seremonien vil SSL.com-ansatte observere genereringen av ett eller flere kryptografiske nøkkelpar med ikke-eksporterbare private nøkler i en CloudHSM-forekomst via videokonferanseprogramvare. Etter seremonien kan kunden sende inn en forespørsel om signering av sertifikat (CSR) for signering og utstedelse av SSL.com. Se Amazon's AWS CloudHSM-dokumentasjon forum CSR generasjonsinstruksjoner.
SSL.coms avgift for nøkkelgenerasjon på AWS CloudHSM er $ 1200.00 USD.
Microsoft Azure dedikert HSM
Microsofts Azure dedikert HSM tjenesten bruker SafeNet Luna Network HSM 7 Model A790 HSM. The Luna cmu
kommandolinjeverktøyet kan brukes til å generere et kryptografisk nøkkelpar og en sertifikatsigneringsforespørsel (CSR) for dokumentsignering eller EV-kodesignering, sammen med informasjon som kreves av SSL.com for attest. Se Thales ' Certificate Management Utility (CMU) dokumentasjon for fullstendige instruksjoner om hvordan du arbeider med cmu
nytte.
Når du genererer nøkkelparet ditt med cmu generasjonspar verktøyet, vær sikker på at den private nøkkelen ikke kan trekkes ut (standardinnstillingen kan ikke trekkes ut). Du bør generere din CSR med cmu forespørselsattest kommando.
Etter å ha generert nøkkelparet ditt og CSR, be om en offentlig nøkkelbekreftelsesfil (PKC) for de nye nøklene med cmu getpkc kommando. Denne filen kan brukes av SSL.com for å bekrefte at nøkkelparet ble generert på kompatibel maskinvare og at den private nøkkelen ikke kan eksporteres.
Etter å ha generert nøkkelparet ditt, CSRog PKC-fil, kan du sende inn CSR og PKC til SSL.com for validering og signering.
SSL.coms avgift for Azure Dedikert HSM PKC-bekreftelse er $ 500.00 USD.
Google Cloud HSM
Googles Cloud HSM tjenesten bruker enheter produsert av Marvell (tidligere Cavium), som kan produsere signerte attesterklæringer for kryptografiske nøkler som SSL.com kan bekrefte før de utsteder dokumentsignering eller EV-kodesigneringssertifikater. Se Googles Dokumentasjon for Cloud Key Management når du genererer nøkkelparet og attesterklæringen:
Etter å ha generert nøkkelparet ditt, CSR, og attesterklæring, kan du sende dem til SSL.com for validering og signering. GitHub-bruker matter har gitt en open source-verktøy for å lage en CSR og signere den med en privat nøkkel fra Google Cloud HSM.
SSL.coms gebyr for Google Cloud HSM-attest er $500.00 USD.
Ta med din egen revisor (BYOA)
BYOA er et gyldig alternativ for klienter, men det krever grundig forberedelse, ellers er det en betydelig risiko for avvisning av den genererte nøkkelen. Dette kan skje hvis enheten som brukes ikke er kompatibel, eller revisor ikke er kvalifisert, eller revisors rapport ikke dekker prosessens krav. I et slikt tilfelle må seremonien og vitneforklaringen gjentas, noe som resulterer i ekstra kostnader og forsinkelser for klienten.
For å unngå slike scenarier, kommuniserer SSL.coms kundestøtte- og/eller valideringsspesialister med kunden før KGC for å gi veiledning og sikre følgende:
- Revisor er godkjent etter kriteriene beskrevet nedenfor
- Kravene til seremoniforberedelsene og seremoniens manus er klare og fulgt grundig, slik at KGC-miljøet er godt forberedt
- Eventuelle restriksjoner og/eller BYOA-spesifikke vilkår og betingelser er klare og akseptert av kunden
Cloud HSM-prisnivåer
For sertifikater installert på HSM-plattformer i skyen, tilbyr SSL.com følgende prisnivåer, basert på maksimalt antall signeringer per år.
Nivået | Pris | Signeringer per år |
Gratis nivå | Basissertifikatpris | 1,000 |
Tier 1 | Basispris + $ 180.00 | 2,000 |
Tier 2 | Basispris + $ 300.00 | 5,000 |
Tier 3 | Basispris + $ 500.00 | 10,000 |
Tier 4 | Kontakt salgsavdelingen | > 10,000 |
Skjema for forespørsel om sky HSM-tjenester
Hvis du vil bestille digitale sertifikater for installasjon på en støttet cloud HSM-plattform (AWS CloudHSM eller Azure Dedicated HSM), vennligst fyll ut og send inn skjemaet nedenfor. Etter at vi har mottatt forespørselen din, vil et medlem av SSL.com-personalet kontakte deg for mer informasjon om bestillings- og attestasjonsprosessen.
Andre Cloud HSM-plattformer
SSL.com er i ferd med å utvikle og teste prosedyrer for utstedelse av dokumentsigneringssertifikater på et bredt spekter av HSM-tjenester og maskinvare. Hvis du ønsker å uttrykke interesse for å bestille sertifikater for en plattform vi ennå ikke støtter og mottar oppdateringer om HSM-er vi støtter, vennligst fyll ut HSM forespørselsskjema.
Trenger du flere ressurser til SSL.com-kontoen din? Sjekk ut disse sidene: