Od 1 czerwca 2023 r. firma SSL.com zaktualizowała swoje protokoły przechowywania kluczy dla certyfikatów podpisywania kodu, aby były zgodne z nowymi wytycznymi wydanymi przez forum organów certyfikacji/przeglądarki (CA/B). Teraz klucze prywatne muszą być zabezpieczone w zaszyfrowanych tokenach USB, znajdujących się na miejscu sprzętowych modułach bezpieczeństwa (HSM) zgodnych ze standardem FIPS lub za pośrednictwem usług HSM opartych na chmurze. Wśród obsługiwanych opcji modułu HSM w chmurze Microsoft Azure Key Vault (warstwa Premium) wyróżnia się jako solidny wybór do przechowywania kluczy prywatnych i generowania żądań podpisania certyfikatu (CSRs).
Podczas ubiegania się o certyfikat podpisywania w witrynie SSL.com proces obejmuje wygenerowanie żądania podpisania certyfikatu (CSR), który służy jako formalne żądanie dla SSL.com sprawdzenia poprawności i powiązania Twojej tożsamości z certyfikatem podpisującym. W poniższych sekcjach pokazano, jak wygenerować plik CSR w Azure Key Vault (warstwa Premium).
Wymagania wstępne
- Azure Key Vault (warstwa Premium). Warstwa usługi Azure Key Vault, która powinna być używana w tym procesie, to Premium ponieważ posiada certyfikat FIPS 140-2 Poziom 3.
- Aby uzyskać instrukcje dotyczące tworzenia usługi Azure Key Vault, zapoznaj się z następną sekcją: Utwórz usługę Azure Key Vault.
- Jeśli masz już usługę Azure Key Vault, przejdź do drugiej sekcji: Wygeneruj żądanie podpisania certyfikatu w Azure Key Vault.
- Zamówienie na certyfikat podpisywania z SSL.com.
Pełną listę modułów HSM w chmurze obsługiwanych przez SSL.com do podpisywania kodu można znaleźć w tym artykule: Obsługiwane moduły HSM w chmurze do podpisywania dokumentów i podpisywania kodu.
Utwórz usługę Azure Key Vault
- Zaloguj się do Portal Azure.
- Kliknij Utwórz zasób.
- Przewiń do Magazyn kluczy i kliknij Stwórz łącze.
- Pod Podstawy sekcji, wykonaj następujące czynności.
- Wybierz subskrypcję i grupę zasobów. W razie potrzeby możesz utworzyć nową grupę zasobów, klikając Utwórz nowy.
- Przypisz nazwę i region. Podaj nazwę magazynu kluczy i wybierz region.
- Wybierz poziom cenowy Premium. Aby zachować zgodność ze standardem FIPS 140-2, wybierz poziom cenowy „Premium”.
- Skonfiguruj opcje odzyskiwania. Ustaw opcje odzyskiwania magazynu kluczy, w tym ochronę przed przeczyszczeniem i okres przechowywania usuniętych magazynów.
- Kliknij Następna przycisk, aby przejść do Uzyskaj dostęp do ustawień konfiguracyjnych
- Kliknij Konfiguracja dostępu. Ustaw zasady dostępu dla Key Vault.
- Kliknij Sieci. Wybierz metodę łączności dla Key Vault.
- Kliknij Tagi. W razie potrzeby utwórz tagi dla Key Vault.
- W pierwszym akapicie zawrzyj swój główny komunikat, pamiętając o zasadzie nazywanej z angielska zasadą pięciu W: kto (who?), co (what?), kiedy (when?), gdzie (where?), dlaczego (why?). Akapit powinien liczyć XNUMX-XNUMX zdania i być zapisany pogrubioną czcionką. To tutaj na dobre musisz zainteresować dziennikarza, by zechciał czytać dalej 🙂
Przejrzyj + utwórz. Review swoje ustawienia, a następnie kliknij przycisk Utwórz, aby utworzyć nowy Key Vault.
- Następnie platforma Azure utworzy nowy magazyn kluczy. Kiedy już będzie gotowy, możesz uzyskać do niego dostęp, klikając przycisk Przejdź do źródła przycisk.
Wygeneruj żądanie podpisania certyfikatu w Azure Key Vault
- Wybierz magazyn kluczy i kliknij certyfikacja.
- Kliknij Generuj / importuj , aby otworzyć Utwórz certyfikat okno.
- Spełnij następujące pola:
- Metoda tworzenia certyfikatu: Wybierz „Generuj”.
- Nazwa certyfikatu: Wprowadź unikalną nazwę swojego certyfikatu.
- Typ urzędu certyfikacji (CA): Wybierz „Certyfikat wydany przez niezintegrowany urząd certyfikacji”.
- Temat: Podaj nazwę wyróżniającą X.509 dla swojego certyfikatu.
- Termin ważności: Możesz pozostawić ustawienie domyślne wynoszące 12 miesięcy. W przypadku certyfikatów do podpisywania kodu z dłuższymi okresami ważności, wydany certyfikat będzie zgodny z Twoim zamówieniem, a nie CSR.
- Typ zawartości: Wybierz „PEM”.
- Typ działania dożywotniego: Skonfiguruj platformę Azure do wysyłania alertów e-mail na podstawie określonego procentu okresu istnienia certyfikatu lub określonej liczby dni przed wygaśnięciem.
- Zaawansowana konfiguracja zasad. Kliknij opcję Zaawansowana konfiguracja zasad, aby ustawić rozmiar, typ i zasady dotyczące ponownego użycia i eksportu klucza.
- W przypadku certyfikatów wystawionych przez SSL.com możesz wyjść Rozszerzone zastosowania kluczy (EKU), Flagi użycia klucza X.509, Włącz przejrzystość certyfikatu według ich wartości domyślnych.
- Ponowne użycie klucza podczas odnawiania? Wybierz Nie.
- Eksportowalny klucz prywatny? Wybierz Nie.
- Typ klucza. Wybierać RSA+HSM
- Rozmiar klucza. W przypadku certyfikatu podpisywania kodu możesz wybrać tylko numer 3072 lub 4096.
- Po zakończeniu ustawiania zaawansowanej konfiguracji zasad kliknij przycisk OK przycisk, a następnie Stwórz.
- Na certyfikacja sekcji, znajdź swój certyfikat na liście w toku, nie powiodło się lub zostało anulowane certyfikaty i kliknij je.
- Kliknij Operacja certyfikatu.
- Kliknij Do pobrania CSR i zapisz plik w bezpiecznym miejscu.