Gerar uma solicitação de assinatura de certificado no Azure Key Vault

A partir de 1º de junho de 2023, SSL.com atualizou seus protocolos de armazenamento de chaves para certificados de assinatura de código para cumprir as novas diretrizes emitidas pelo Fórum de Autoridade de Certificação/Navegador (CA/B). Agora, as chaves privadas devem ser protegidas em tokens USB criptografados, módulos de segurança de hardware (HSM) compatíveis com FIPS no local ou por meio de serviços HSM baseados em nuvem. Entre as opções de HSM em nuvem suportadas, o Microsoft Azure Key Vault (Premium Tier) se destaca como uma escolha robusta para armazenar chaves privadas e gerar solicitações de assinatura de certificado (CSRs). 

Ao solicitar um certificado de assinatura com SSL.com, o processo inclui a geração de uma solicitação de assinatura de certificado (CSR) que serve como uma solicitação formal para SSL.com validar e vincular sua identidade a um certificado de assinatura. As seções a seguir demonstram como gerar um CSR no Azure Key Vault (nível Premium).

Pré-requisitos

  1.  Um Azure Key Vault (nível Premium). O nível de serviço do Azure Key Vault que deve ser usado para este processo é Premium porque é validado pelo FIPS 140-2 Nível 3.
    1. Para obter instruções sobre como criar um Azure Key Vault, consulte a próxima seção: Crie um cofre de chaves do Azure.
    2. Se você já possui um Azure Key Vault existente, prossiga para a outra seção: Gere uma solicitação de assinatura de certificado no Azure Key Vault.
  2. Um pedido de certificado de assinatura de SSL.com. 
Para obter uma lista completa de HSMs em nuvem que SSL.com suporta para assinatura de código, consulte este artigo: HSMs de nuvem com suporte para assinatura de documento e assinatura de código.

Crie um cofre de chaves do Azure

  1. Faça login no Portal do Azure.

  2. Clique Crie um recurso.
  3. Vá para Cofre de Chaves E clique no Crie link.

  4. Sob o fundamentos básicos seção, execute o seguinte.
    1. Selecione a assinatura e o grupo de recursos. Se necessário, você pode criar um novo grupo de recursos clicando em Crie um novo.
    2. Atribuir um nome e região. Forneça um nome para o seu Key Vault e escolha uma região.
    3. Opte pelo nível de preços Premium. Para estar em conformidade com o padrão FIPS 140-2, selecione o nível de preços “Premium”.
    4. Configurar opções de recuperação. Defina as opções de recuperação para o seu Key Vault, incluindo a proteção contra limpeza e o período de retenção para cofres excluídos.
    5. Clique na Next botão para prosseguir para o Acessar configurações seção.

  5. Clique Configuração de acesso. Defina as políticas de acesso para seu Key Vault.
  6. Clique Networking. Escolha um método de conectividade para seu Key Vault.
  7. Clique Tags. Se desejar, crie tags para seu Key Vault.

  8. Continue a Rever + criar. Revisão suas configurações e clique no botão Criar para criar seu novo Key Vault.

  9. O Azure criará então o seu novo Key Vault. Quando estiver pronto, você pode acessá-lo clicando no botão Vá para o recurso botão.

Gerar uma solicitação de assinatura de certificado no Azure Key Vault

  1. Selecione seu cofre de chaves e clique em Certificados.

  2. Clique na Gerar / Importar botão para abrir o Crie um certificado janela.

  3. Preencha os seguintes campos:
    1. Método de criação de certificado: Selecione “Gerar”.
    2. Nome válido: Insira um nome exclusivo para o seu certificado.
    3. Tipo de Autoridade Certificadora (CA): Escolha “Certificado emitido por uma CA não integrada”.
    4. Assunto: Forneça o Nome Distinto X.509 para seu certificado.
    5. Período de validade: Você pode deixar esse conjunto com o padrão de 12 meses. Para certificados de assinatura de código com períodos de validade mais longos, o certificado emitido corresponderá ao seu pedido, não ao CSR.
    6. Tipo de conteúdo: Selecione “PEM”.
    7. Tipo de ação vitalícia: Configure o Azure para enviar alertas por email com base em uma determinada porcentagem da vida útil do certificado ou em um número específico de dias antes da expiração.
  4. Configuração Avançada de Política. Clique em Configuração avançada de política para definir o tamanho, o tipo e as políticas da chave para reutilização e exportação de chaves.
    1. Para certificados emitidos por SSL.com, você pode deixar Usos de chave estendidos (EKUs), Sinalizadores de uso de chave X.509 e Habilitar Transparência de Certificado em seus valores padrão.
    2. Reutilizar chave na renovação? Selecione Não.
    3. Chave privada exportável? Selecione Não.
    4. Tipo de chave. Selecionar RSA+HSM
    5. Tamanho da chave. Para um certificado de assinatura de código, você só pode escolher entre 3072 ou 4096.

  5.  Quando terminar de definir a configuração de política avançada, clique no botão OK botão, seguido por Crie.

  6. No Certificados seção, localize seu certificado na lista de em andamento, falhou ou foi cancelado certificados e clique nele.
  7. Clique Operação de Certificado.

  8. Clique Baixar CSR e salve o arquivo em um local seguro.

Envie a solicitação de assinatura de certificado (CSR) para SSL.com 

O baixado CSR O arquivo será enviado ao agente SSL.com atribuído ao assinante. Juntamente com o CSR arquivo, o assinante também deverá enviar o Formulário de Atestado de Auditor. O modelo do formulário pode ser baixado deste artigo: Guia Traga seu próprio auditor (BYOA) para atestado de geração de chave privada. Após isso, o processo prosseguirá para a verificação dos documentos apresentados. O agente SSL.com atribuído ao assinante fornecerá atualizações até que o certificado de assinatura esteja pronto para emissão.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.