HSMs de nuvem com suporte para assinatura de documento e assinatura de código

SSL.com atualmente suporta AWS CloudHSM, HSM dedicado Azure e HSM do Google Cloud para emissão de confiável da Adobe certificados de assinatura de documentos, Certificados de assinatura de código IV/OV e Certificados de assinatura de código EV. Todos esses serviços de HSM em nuvem fornecem hardware HSM validado FIPS 140-2 Nível 3 para gerar e armazenar chaves de criptografia. Este guia fornece uma visão geral da geração de chave, atestado e pedido de certificado para essas plataformas de HSM em nuvem e inclui informações de preços para certificados instalados em HSMs em nuvem.

O que é atestado?
Antes que SSL.com possa assinar e emitir certificados de assinatura de código ou certificados de assinatura de documentos confiáveis ​​da Adobe, devemos primeiro obter prova de que a chave de assinatura privada do cliente foi gerada e armazenada com segurança em um FIPS 140-2 Nível 2 (ou superior) certificado dispositivo, do qual não pode ser exportado. O ato de provar que uma chave privada atende a esses requisitos é conhecido como atestado. Os procedimentos exatos para atestado de chave privada variam entre dispositivos e plataformas de computação em nuvem.

Amazon Web Services (AWS) CloudHSM

Amazon Web Services (AWS) CloudHSM O serviço atualmente não fornece nenhum meio pelo qual o SSL.com possa automatizar o atestado de chaves geradas no HSM. Por esse motivo, exigimos uma cerimônia de geração de par de chaves testemunhada remotamente antes de podermos emitir certificados de assinatura de documento e assinatura de código para instalação no AWS CloudHSM. Esse procedimento de testemunho remoto incorrerá em uma cobrança extra pelo tempo gasto pela equipe do SSL.com na cerimônia.

Durante a cerimônia, a equipe SSL.com observará a geração de um ou mais pares de chaves criptográficas com chaves privadas não exportáveis ​​em uma instância do CloudHSM por meio de software de videoconferência. Após a cerimônia, o cliente pode enviar um pedido de assinatura de certificado (CSR) para assinatura e emissão por SSL.com. Consulte a Amazon's Documentação AWS CloudHSM para CSR instruções de geração.

A taxa de SSL.com para cerimônias de geração de chaves no AWS CloudHSM é de US $ 1200.00.

HSM dedicado do Microsoft Azure

Microsoft HSM dedicado Azure serviço usa o SafeNet Luna Network HSM 7 Modelo A790 HSM. A lua cmu ferramenta de linha de comando pode ser usada para gerar um par de chaves criptográficas e solicitação de assinatura de certificado (CSR) para assinatura de documento ou assinatura de código, junto com as informações exigidas pelo SSL.com para atestado. Por favor, consulte Thales' Documentação do Certificate Management Utility (CMU) para obter instruções completas sobre como trabalhar com o cmu utilidade.

Ao gerar seu par de chaves com o cmu gerar par de chaves utilitário, certifique-se de que a chave privada não possa ser extraída (a configuração padrão é não extraível). Você deve gerar seu CSR com o certificado de solicitação cmu comando.

Depois de gerar seu par de chaves e CSR, solicite um arquivo de confirmação de chave pública (PKC) para as novas chaves com o cmu getpkc comando. Este arquivo pode ser usado por SSL.com para confirmar que o par de chaves foi gerado em um hardware compatível e que a chave privada não pode ser exportada.

Depois de gerar seu par de chaves, CSRe arquivo PKC, você pode enviar o CSR e PKC para SSL.com para validação e assinatura.

A taxa de SSL.com para confirmação de PKC do Azure Dedicated HSM é de $ 500.00 USD.

Existem três tipos de soluções de gestão de chaves Azure que SSL.com pode utilizar para assinar certificados:

Azure Key Vault (nível Premium) e HSM Dedicado do Azure para o qual o SSL.com pode fornecer serviços de atestado remoto. Traga seu próprio auditor (BYOA) também pode ser usado para serviços Azure Key Vault e Azure Dedicated HSM em vez do atestado SSL.com fornecido. 

Azure Key Vault Managed HSM que não fornece atestado remoto e atualmente não podemos atestar diretamente como uma CA de forma compatível. Embora aceitemos o uso do Azure Key Vault Managed HSM, a geração de chave compatível deve ser auditada e atestada em uma carta de um profissional de segurança certificado que é detalhado no Processo BYOA.

Se um oficial de segurança certificado não existir na organização, existem provedores de serviços de certificação externos que podem ser contratados para fazê-lo. Aqui está um exemplo: https://spearit.net/services/remote-key-attestation

HSM do Google Cloud

Google Nuvem HSM O serviço usa dispositivos fabricados pela Marvell (anteriormente Cavium), que pode produzir declarações de atestado assinadas para chaves criptográficas que o SSL.com pode verificar antes de emitir certificados de assinatura de documento ou de assinatura de código. Consulte o Google Documentação do Cloud Key Management ao gerar seu par de chaves e declaração de atestado:

Depois de gerar seu par de chaves, CSRe declaração de atestado, você pode enviá-los para SSL.com para validação e assinatura. Usuário GitHub Mates forneceu um utilitário de código aberto para criar um CSR e assiná-lo com uma chave privada do Google Cloud HSM.

A taxa de SSL.com para o atestado do Google Cloud HSM é de US $ 500.00.

Traga seu próprio auditor (BYOA)

Os atestados também podem ser realizados por outros indivíduos qualificados que tenham certificações reconhecidas de segurança cibernética. Chamamos isso de “Traga seu próprio auditor” quando o proprietário do HSM utiliza meios para atestado de geração de chaves que não sejam os serviços de atestado do SSL.com. 

A opção BYOA pode ser usada para realizar qualquer Cerimônia de Geração de Chave (KGC) de um HSM compatível, mesmo para os HSMs para os quais o SSL.com não fornece serviços de atestado. 

Traga sua própria bebida requer uma preparação minuciosa, caso contrário, há um risco significativo de rejeição da chave gerada. Isso pode acontecer se o dispositivo usado não estiver em conformidade, o auditor não for qualificado ou o relatório do auditor não cobrir os requisitos do processo. Neste caso, a cerimónia terá de ser repetida, resultando em custos acrescidos e atrasos para o cliente. 

Para evitar tais cenários, o suporte ao cliente SSL.com e/ou especialistas em validação se comunicam com o cliente antes do KGC para fornecer orientação e garantir o seguinte:

  • O auditor é aprovado de acordo com os critérios descritos abaixo
  • Os requisitos de preparação da cerimônia, assim como o roteiro da cerimônia, são claros e seguidos minuciosamente para que o ambiente KGC esteja devidamente preparado
  • Quaisquer restrições e / ou termos e condições específicos do BYOA são claros e aceitos pelo cliente

Detalhes sobre requisitos para auditores externos pode ser encontrada aqui.

Níveis de preços do Cloud HSM

Para certificados instalados em plataformas HSM em nuvem, SSL.com oferece os seguintes níveis de preços, com base no número máximo de assinaturas por ano.

camada Preço Contratações por ano
Nível grátis Preço base do certificado 1,000
Nível 1 Preço Base + $ 180.00 2,000
Nível 2 Preço Base + $ 300.00 5,000
Nível 3 Preço Base + $ 500.00 10,000
Nível 4 Contato de Vendas > 10,000

Formulário de solicitação de serviço Cloud HSM

Se você deseja solicitar certificados digitais para instalação em uma plataforma HSM de nuvem compatível (AWS CloudHSM ou Azure Dedicated HSM), preencha e envie o formulário abaixo. Após recebermos sua solicitação, um membro da equipe do SSL.com entrará em contato com você com mais detalhes sobre o processo de pedido e atestado.

Outras plataformas Cloud HSM

A SSL.com está atualmente desenvolvendo e testando procedimentos para emissão de certificados de assinatura de documentos em uma ampla gama de serviços e hardware HSM. Se você deseja manifestar interesse em solicitar certificados para uma plataforma que ainda não oferecemos suporte e receber atualizações sobre os HSMs compatíveis, preencha nosso Formulário de inquérito HSM.

Precisa de mais recursos para sua conta SSL.com? Confira estas páginas: 

Twitter
Facebook
LinkedIn
Reddit
E-mail

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.