Wygeneruj żądanie podpisania certyfikatu w Azure Key Vault

Od 1 czerwca 2023 r. firma SSL.com zaktualizowała swoje protokoły przechowywania kluczy dla certyfikatów podpisywania kodu, aby były zgodne z nowymi wytycznymi wydanymi przez forum organów certyfikacji/przeglądarki (CA/B). Teraz klucze prywatne muszą być zabezpieczone w zaszyfrowanych tokenach USB, znajdujących się na miejscu sprzętowych modułach bezpieczeństwa (HSM) zgodnych ze standardem FIPS lub za pośrednictwem usług HSM opartych na chmurze. Wśród obsługiwanych opcji modułu HSM w chmurze Microsoft Azure Key Vault (warstwa Premium) wyróżnia się jako solidny wybór do przechowywania kluczy prywatnych i generowania żądań podpisania certyfikatu (CSRs). 

Podczas ubiegania się o certyfikat podpisywania w witrynie SSL.com proces obejmuje wygenerowanie żądania podpisania certyfikatu (CSR), który służy jako formalne żądanie dla SSL.com sprawdzenia poprawności i powiązania Twojej tożsamości z certyfikatem podpisującym. W poniższych sekcjach pokazano, jak wygenerować plik CSR w Azure Key Vault (warstwa Premium).

Wymagania wstępne

  1.  Azure Key Vault (warstwa Premium). Warstwa usługi Azure Key Vault, która powinna być używana w tym procesie, to Premia ponieważ posiada certyfikat FIPS 140-2 Poziom 3.
    1. Aby uzyskać instrukcje dotyczące tworzenia usługi Azure Key Vault, zapoznaj się z następną sekcją: Utwórz usługę Azure Key Vault.
    2. Jeśli masz już usługę Azure Key Vault, przejdź do drugiej sekcji: Wygeneruj żądanie podpisania certyfikatu w Azure Key Vault.
  2. Zamówienie na certyfikat podpisywania z SSL.com. 
Pełną listę modułów HSM w chmurze obsługiwanych przez SSL.com do podpisywania kodu można znaleźć w tym artykule: Obsługiwane moduły HSM w chmurze do podpisywania dokumentów i podpisywania kodu.

Utwórz usługę Azure Key Vault

  1. Zaloguj się do Portal Azure.

  2. Kliknij Utwórz zasób.
  3. Przewiń do Magazyn kluczy i kliknij Stwórz łącze.

  4. Pod Podstawy sekcji, wykonaj następujące czynności.
    1. Wybierz subskrypcję i grupę zasobów. W razie potrzeby możesz utworzyć nową grupę zasobów, klikając Utwórz nowy.
    2. Przypisz nazwę i region. Podaj nazwę magazynu kluczy i wybierz region.
    3. Wybierz poziom cenowy Premium. Aby zachować zgodność ze standardem FIPS 140-2, wybierz poziom cenowy „Premium”.
    4. Skonfiguruj opcje odzyskiwania. Ustaw opcje odzyskiwania magazynu kluczy, w tym ochronę przed przeczyszczeniem i okres przechowywania usuniętych magazynów.
    5. Kliknij Następna przycisk, aby przejść do Uzyskaj dostęp do ustawień konfiguracyjnych

  5. Kliknij Konfiguracja dostępu. Ustaw zasady dostępu dla Key Vault.
  6. Kliknij Sieci. Wybierz metodę łączności dla Key Vault.
  7. Kliknij Tagi. W razie potrzeby utwórz tagi dla Key Vault.

  8. W pierwszym akapicie zawrzyj swój główny komunikat, pamiętając o zasadzie nazywanej z angielska zasadą pięciu W: kto (who?), co (what?), kiedy (when?), gdzie (where?), dlaczego (why?). Akapit powinien liczyć XNUMX-XNUMX zdania i być zapisany pogrubioną czcionką. To tutaj na dobre musisz zainteresować dziennikarza, by zechciał czytać dalej 🙂 Przejrzyj + utwórz. Review swoje ustawienia, a następnie kliknij przycisk Utwórz, aby utworzyć nowy Key Vault.

  9. Następnie platforma Azure utworzy nowy magazyn kluczy. Kiedy już będzie gotowy, możesz uzyskać do niego dostęp, klikając przycisk Przejdź do źródła przycisk.

Wygeneruj żądanie podpisania certyfikatu w Azure Key Vault

  1. Wybierz magazyn kluczy i kliknij certyfikaty.

  2. Kliknij Generuj / importuj , aby otworzyć Utwórz certyfikat okno.

  3. Spełnij następujące pola:
    1. Metoda tworzenia certyfikatu: Wybierz „Generuj”.
    2. Nazwa certyfikatu: Wprowadź unikalną nazwę swojego certyfikatu.
    3. Typ urzędu certyfikacji (CA): Wybierz „Certyfikat wydany przez niezintegrowany urząd certyfikacji”.
    4. Temat: Podaj nazwę wyróżniającą X.509 dla swojego certyfikatu.
    5. Termin ważności: Możesz pozostawić ustawienie domyślne wynoszące 12 miesięcy. W przypadku certyfikatów do podpisywania kodu z dłuższymi okresami ważności, wydany certyfikat będzie zgodny z Twoim zamówieniem, a nie CSR.
    6. Typ zawartości: Wybierz „PEM”.
    7. Typ działania dożywotniego: Skonfiguruj platformę Azure do wysyłania alertów e-mail na podstawie określonego procentu okresu istnienia certyfikatu lub określonej liczby dni przed wygaśnięciem.
  4. Zaawansowana konfiguracja zasad. Kliknij opcję Zaawansowana konfiguracja zasad, aby ustawić rozmiar, typ i zasady dotyczące ponownego użycia i eksportu klucza.
    1. W przypadku certyfikatów wystawionych przez SSL.com możesz wyjść Rozszerzone zastosowania kluczy (EKU), Flagi użycia klucza X.509, Włącz przejrzystość certyfikatu według ich wartości domyślnych.
    2. Ponowne użycie klucza podczas odnawiania? Wybierz Nie.
    3. Eksportowalny klucz prywatny? Wybierz Nie.
    4. Typ klucza. Wybierać RSA+HSM
    5. Rozmiar klucza. W przypadku certyfikatu podpisywania kodu możesz wybrać tylko numer 3072 lub 4096.

  5.  Po zakończeniu ustawiania zaawansowanej konfiguracji zasad kliknij przycisk OK przycisk, a następnie Stwórz.

  6. Na certyfikaty sekcji, znajdź swój certyfikat na liście w toku, nie powiodło się lub zostało anulowane certyfikaty i kliknij je.
  7. Kliknij Operacja certyfikatu.

  8. Kliknij Do pobrania CSR i zapisz plik w bezpiecznym miejscu.

Prześlij prośbę o podpisanie certyfikatu (CSR) do SSL.com 

Pobrane CSR file will be submitted to the SSL.com agent assigned to the subscriber. Razem z CSR file, the subscriber must also submit the Auditor Attestation Form. The template for the form can be downloaded from this article: Przewodnik dla audytora (BYOA) dotyczący poświadczenia generowania klucza prywatnego. After this, the process will proceed to verification of the documents submitted. The SSL.com agent assigned to the subscriber will provide updates up until the signing certificate is ready for issuance.

Zapisz się do newslettera SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.