Obsługiwane moduły HSM w chmurze do podpisywania dokumentów i podpisywania kodu

SSL.com obecnie obsługuje Chmura AWSHSM, Dedykowany moduł HSM platformy Azure, HSM w chmurze Google za wydanie zaufanego pliku Adobe certyfikaty podpisywania dokumentów, Certyfikaty podpisywania kodu IV/OV, Certyfikaty do podpisywania kodów pojazdów elektrycznych. Wszystkie te usługi HSM w chmurze zapewniają sprawdzony sprzęt HSM zgodny ze standardem FIPS 140-2 Level 3 do generowania i przechowywania kluczy szyfrowania. Ten przewodnik zawiera omówienie generowania kluczy, poświadczania i zamawiania certyfikatów dla tych platform HSM w chmurze oraz zawiera informacje o cenach certyfikatów zainstalowanych w modułach HSM w chmurze.

Co to jest zaświadczenie?
Zanim SSL.com będzie mógł podpisywać i wydawać certyfikaty do podpisywania kodu lub zaufane przez firmę Adobe certyfikaty do podpisywania dokumentów, musimy najpierw uzyskać dowód, że prywatny klucz podpisywania klienta został wygenerowany i jest bezpiecznie przechowywany na certyfikowanym poziomie 140 (lub wyższym) FIPS 2-2 urządzenie, z którego nie można go wyeksportować. Akt udowodnienia, że ​​klucz prywatny spełnia te wymagania, jest znany jako zaświadczenie. Dokładne procedury poświadczania klucza prywatnego różnią się w zależności od urządzenia i platformy przetwarzania w chmurze.

Usługi internetowe Amazon (AWS) CloudHSM

Amazon Web Services (AWS) ChmuraHSM service nie zapewnia obecnie żadnych środków, za pomocą których SSL.com może zautomatyzować poświadczanie kluczy generowanych w HSM. Z tego powodu wymagamy zdalnej ceremonii generowania pary kluczy, zanim będziemy mogli wystawić certyfikaty podpisywania dokumentów i kodu do instalacji w AWS CloudHSM. Ta procedura zdalnego świadka wiąże się z dodatkową opłatą za czas spędzony przez personel SSL.com na ceremonii.

Podczas ceremonii pracownicy SSL.com będą obserwować generowanie jednej lub więcej par kluczy kryptograficznych z nieeksportowalnymi kluczami prywatnymi na instancji CloudHSM za pośrednictwem oprogramowania do wideokonferencji. Po ceremonii klient może złożyć wniosek o podpisanie certyfikatu (CSR) do podpisywania i wystawiania przez SSL.com. Proszę zapoznać się z Amazon's Dokumentacja AWS CloudHSM dla CSR instrukcje generowania.

Opłata SSL.com za ceremonie generowania kluczy w AWS CloudHSM wynosi 1200.00 USD.

Dedykowany moduł HSM platformy Microsoft Azure

Microsoft Dedykowany moduł HSM platformy Azure korzysta z SafeNet Luna Network HSM 7 Model A790 HSM. Luna cmu narzędzia wiersza poleceń można użyć do wygenerowania pary kluczy kryptograficznych i żądania podpisania certyfikatu (CSR) do podpisywania dokumentów lub podpisywania kodu, wraz z informacjami wymaganymi przez SSL.com do poświadczenia. Proszę odnieść się do Thalesa Dokumentacja narzędzia do zarządzania certyfikatami (CMU) aby uzyskać pełne instrukcje dotyczące pracy z cmu użyteczność.

Podczas generowania pary kluczy z cmu wygeneruj parę kluczy narzędzie, upewnij się, że klucza prywatnego nie można wyodrębnić (ustawienie domyślne to niewyodrębnianie). Powinieneś wygenerować swój CSR z cmu requestcertyfikat dowództwo.

Po wygenerowaniu pary kluczy i CSR, zażądaj pliku potwierdzenia klucza publicznego (PKC) dla nowych kluczy z rozszerzeniem cmu getpkc Komenda. Ten plik może być użyty przez SSL.com do potwierdzenia, że ​​para kluczy została wygenerowana na zgodnym sprzęcie, a klucza prywatnego nie można eksportować.

Po wygenerowaniu pary kluczy CSRi PKC, możesz przesłać plik CSR i PKC do SSL.com w celu weryfikacji i podpisania.

Opłata SSL.com za potwierdzenie dedykowanego HSM PKC platformy Azure wynosi 500.00 USD.

Uwaga: przypominamy, że SSL.com nie może używać podstawowego Azure Key Vault do podpisywania certyfikatów. Nie zapewnia dedykowanej, pojedynczej dzierżawy instancji modułu HSM, która jest wymagana. Nasze dwie opcje usług Azure HSM to:

  1. Dedykowany moduł HSM platformy Azure, dla którego SSL.com może świadczyć usługi zdalnego zaświadczania. Przyprowadź własnego audytora (BYOA) może być również używany do usług Azure Dedicated HSM zamiast dostarczonego zaświadczenia SSL.com. 
  2. Azure Key Vault Managed HSM, który nie zapewnia zdalnego zaświadczania i nie możemy obecnie zaświadczyć bezpośrednio jako urząd certyfikacji w sposób zgodny z przepisami. Chociaż akceptujemy korzystanie z Azure Key Vault Managed HSM, generowanie zgodnych kluczy musi zostać poddane audytowi i potwierdzone pismem od certyfikowanego specjalisty ds. proces BYOA.

Jeśli w organizacji nie ma certyfikowanego oficera ds. bezpieczeństwa, istnieją zewnętrzni dostawcy usług atestacyjnych, których można w tym celu zaangażować. Oto jeden przykład: https://spearit.net/services/remote-key-attestation

HSM w chmurze Google

Google'a Chmura HSM Serwis korzysta z urządzeń wyprodukowanych przez firmę Marvell (dawniej Cavium), które mogą generować podpisane oświadczenia potwierdzające klucze kryptograficzne, które SSL.com może zweryfikować przed wydaniem certyfikatów do podpisywania dokumentów lub kodów. Proszę odnieść się do Google Dokumentacja zarządzania kluczami w chmurze podczas generowania pary kluczy i zaświadczenia:

Po wygenerowaniu pary kluczy CSRi oświadczenie atestacyjne, możesz przesłać je do SSL.com w celu weryfikacji i podpisania. Użytkownik GitHub kamienie zapewnił narzędzie open source do tworzenia CSR i podpisując go kluczem prywatnym z Google Cloud HSM.

Opłata SSL.com za atest Google Cloud HSM wynosi 500.00 USD.

Przynieś własnego audytora (BYOA)

Atesty mogą być również wykonywane przez inne wykwalifikowane osoby posiadające uznane certyfikaty bezpieczeństwa cybernetycznego. Nazywamy to „Przyprowadź własnego audytora”, gdy właściciel HSM wykorzystuje środki do poświadczania generowania klucza inne niż korzystanie z usług poświadczania SSL.com. 

Opcji BYOA można użyć do wykonania dowolnego Ceremonia generowania klucza (KGC) zgodnego HSM, nawet dla tych HSM, dla których SSL.com nie świadczy usług atestacyjnych. 

BYOA wymaga dokładnego przygotowania, w przeciwnym razie istnieje duże ryzyko odrzucenia wygenerowanego klucza. Może się to zdarzyć, jeśli używane urządzenie nie jest zgodne, audytor nie ma kwalifikacji lub raport audytora nie obejmuje wymagań procesu. W takim przypadku ceremonię trzeba będzie powtórzyć, co wiąże się z dodatkowymi kosztami i opóźnieniami dla klienta. 

Aby uniknąć takich scenariuszy, specjaliści ds. obsługi klienta i/lub weryfikacji SSL.com komunikują się z klientem przed KGC udzielanie wskazówek i zapewnienie, co następuje:

  • Audytor jest zatwierdzany zgodnie z kryteriami opisanymi poniżej
  • Wymagania dotyczące przygotowania ceremonii, a także scenariusz ceremonii są jasne i dokładnie przestrzegane, aby środowisko KGC było odpowiednio przygotowane
  • Wszelkie ograniczenia i/lub warunki specyficzne dla BYOA są jasne i akceptowane przez klienta

Szczegóły dotyczące wymagań dla audytorów zewnętrznych można znaleźć tutaj.

Poziomy cenowe Cloud HSM

W przypadku certyfikatów zainstalowanych na platformach HSM w chmurze SSL.com oferuje następujące poziomy cenowe w oparciu o maksymalną liczbę podpisów w ciągu roku.

Poziom Cena Podpisy rocznie
Poziom bezpłatny Podstawowa cena certyfikatu 1,000
Poziom 1 Cena podstawowa + 180.00 USD 2,000
Poziom 2 Cena podstawowa + 300.00 USD 5,000
Poziom 3 Cena podstawowa + 500.00 USD 10,000
Poziom 4 Kontakt z Działem Sprzedaży > 10,000

Formularz zgłoszenia usługi Cloud HSM

Jeśli chcesz zamówić certyfikaty cyfrowe do instalacji na obsługiwanej platformie chmurowej HSM (AWS CloudHSM lub Azure Dedicated HSM), wypełnij i wyślij poniższy formularz. Po otrzymaniu Twojej prośby członek personelu SSL.com skontaktuje się z Tobą, aby przekazać więcej informacji na temat procesu zamawiania i atestowania.

Inne platformy HSM w chmurze

SSL.com obecnie opracowuje i testuje procedury wydawania certyfikatów do podpisywania dokumentów na szerokiej gamie usług i sprzętu HSM. Jeśli chcesz wyrazić zainteresowanie zamówieniem certyfikatów dla platformy, której jeszcze nie obsługujemy i otrzymywać aktualizacje na temat obsługiwanych przez nas modułów HSM, wypełnij nasz Formularz zapytania HSM.

Potrzebujesz więcej zasobów dla swojego konta SSL.com? Sprawdź te strony: 

Twitter
Facebook
LinkedIn
Reddit
E-mail

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.