SSL.com atualmente suporta AWS CloudHSM, HSM dedicado Azure e HSM do Google Cloud para emissão de confiável da Adobe certificados de assinatura de documentos, Certificados de assinatura de código IV/OV e Certificados de assinatura de código EV. Todos esses serviços de HSM em nuvem fornecem hardware HSM validado FIPS 140-2 Nível 3 para gerar e armazenar chaves de criptografia. Este guia fornece uma visão geral da geração de chave, atestado e pedido de certificado para essas plataformas de HSM em nuvem e inclui informações de preços para certificados instalados em HSMs em nuvem.
Antes que SSL.com possa assinar e emitir certificados de assinatura de código ou certificados de assinatura de documentos confiáveis da Adobe, devemos primeiro obter prova de que a chave de assinatura privada do cliente foi gerada e armazenada com segurança em um FIPS 140-2 Nível 2 (ou superior) certificado dispositivo, do qual não pode ser exportado. O ato de provar que uma chave privada atende a esses requisitos é conhecido como atestado. Os procedimentos exatos para atestado de chave privada variam entre dispositivos e plataformas de computação em nuvem.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM O serviço atualmente não fornece nenhum meio pelo qual o SSL.com possa automatizar o atestado de chaves geradas no HSM. Por esse motivo, exigimos uma cerimônia de geração de par de chaves testemunhada remotamente antes de podermos emitir certificados de assinatura de documento e assinatura de código para instalação no AWS CloudHSM. Esse procedimento de testemunho remoto incorrerá em uma cobrança extra pelo tempo gasto pela equipe do SSL.com na cerimônia.
Durante a cerimônia, a equipe SSL.com observará a geração de um ou mais pares de chaves criptográficas com chaves privadas não exportáveis em uma instância do CloudHSM por meio de software de videoconferência. Após a cerimônia, o cliente pode enviar um pedido de assinatura de certificado (CSR) para assinatura e emissão por SSL.com. Consulte a Amazon's Documentação AWS CloudHSM for CSR instruções de geração.
A taxa de SSL.com para cerimônias de geração de chaves no AWS CloudHSM é de US $ 1200.00.
Soluções de gerenciamento de chaves do Microsoft Azure
- Azure Key Vault (nível Premium) e a HSM gerenciado pelo Azure Key Vault que não fornecem atestado remoto e não podemos atestar diretamente como uma CA de forma compatível no momento. Embora aceitemos o uso do Azure Key Vault Managed HSM, a geração de chaves compatível deve ser auditada e atestada em uma carta de um profissional de segurança certificado, que é detalhada no Processo BYOA.
- HSM dedicado Azure para os quais a SSL.com pode fornecer serviços de atestado remoto. Traga seu próprio auditor (BYOA) também pode ser usado para serviços Azure Key Vault e Azure Dedicated HSM em vez do atestado SSL.com fornecido.
Se um oficial de segurança certificado não existir na organização, existem provedores de serviços de certificação externos que podem ser contratados para fazê-lo. Aqui está um exemplo: https://spearit.net/services/remote-key-attestation
Microsoft HSM dedicado Azure serviço usa o SafeNet Luna Network HSM 7 Modelo A790 HSM. A lua cmu
ferramenta de linha de comando pode ser usada para gerar um par de chaves criptográficas e solicitação de assinatura de certificado (CSR) para assinatura de documento ou assinatura de código, junto com as informações exigidas pelo SSL.com para atestado. Por favor, consulte Thales' Documentação do Certificate Management Utility (CMU) para obter instruções completas sobre como trabalhar com o cmu
utilidade.
Ao gerar seu par de chaves com o cmu gerar par de chaves utilitário, certifique-se de que a chave privada não possa ser extraída (a configuração padrão é não extraível). Você deve gerar seu CSR com o certificado de solicitação cmu comando.
Depois de gerar seu par de chaves e CSR, solicite um arquivo de confirmação de chave pública (PKC) para as novas chaves com o cmu getpkc comando. Este arquivo pode ser usado por SSL.com para confirmar que o par de chaves foi gerado em um hardware compatível e que a chave privada não pode ser exportada.
Depois de gerar seu par de chaves, CSRe arquivo PKC, você pode enviar o CSR e PKC para SSL.com para validação e assinatura.
A taxa de SSL.com para confirmação de PKC do Azure Dedicated HSM é de $ 500.00 USD.
HSM do Google Cloud
Google Nuvem HSM O serviço usa dispositivos fabricados pela Marvell (anteriormente Cavium), que pode produzir declarações de atestado assinadas para chaves criptográficas que o SSL.com pode verificar antes de emitir certificados de assinatura de documento ou de assinatura de código. Consulte o Google Documentação do Cloud Key Management ao gerar seu par de chaves e declaração de atestado:
Depois de gerar seu par de chaves, CSRe declaração de atestado, você pode enviá-los para SSL.com para validação e assinatura. Usuário GitHub Mates forneceu um utilitário de código aberto para criar um CSR e assiná-lo com uma chave privada do Google Cloud HSM.
A taxa de SSL.com para o atestado do Google Cloud HSM é de US $ 500.00.
Traga seu próprio auditor (BYOA)
Os atestados também podem ser realizados por outros indivíduos qualificados que tenham certificações reconhecidas de segurança cibernética. Chamamos isso de “Traga seu próprio auditor” quando o proprietário do HSM utiliza meios para atestado de geração de chaves que não sejam os serviços de atestado do SSL.com.
A opção BYOA pode ser usada para realizar qualquer Cerimônia de Geração de Chave (KGC) de um HSM compatível, mesmo para os HSMs para os quais o SSL.com não fornece serviços de atestado.
Traga sua própria bebida requer uma preparação minuciosa, caso contrário, há um risco significativo de rejeição da chave gerada. Isso pode acontecer se o dispositivo usado não estiver em conformidade, o auditor não for qualificado ou o relatório do auditor não cobrir os requisitos do processo. Neste caso, a cerimónia terá de ser repetida, resultando em custos acrescidos e atrasos para o cliente.
Para evitar tais cenários, o suporte ao cliente SSL.com e/ou especialistas em validação se comunicam com o cliente antes do KGC para fornecer orientação e garantir o seguinte:
- O auditor é aprovado de acordo com os critérios descritos abaixo
- Os requisitos de preparação da cerimônia, assim como o roteiro da cerimônia, são claros e seguidos minuciosamente para que o ambiente KGC esteja devidamente preparado
- Quaisquer restrições e / ou termos e condições específicos do BYOA são claros e aceitos pelo cliente
Detalhes sobre requisitos para auditores externos pode ser encontrada aqui.
Níveis de preços do Cloud HSM
Para certificados instalados em plataformas HSM em nuvem, SSL.com oferece os seguintes níveis de preços, com base no número máximo de assinaturas por ano.
camada | Preço | Contratações por ano |
Nível grátis | Preço base do certificado | 1,000 |
Nível 1 | Preço Base + $ 180.00 | 2,000 |
Nível 2 | Preço Base + $ 300.00 | 5,000 |
Nível 3 | Preço Base + $ 500.00 | 10,000 |
Nível 4 | Contato de Vendas | > 10,000 |
Formulário de solicitação de serviço Cloud HSM
Se você deseja solicitar certificados digitais para instalação em uma plataforma HSM de nuvem compatível (AWS CloudHSM ou Azure Dedicated HSM), preencha e envie o formulário abaixo. Após recebermos sua solicitação, um membro da equipe do SSL.com entrará em contato com você com mais detalhes sobre o processo de pedido e atestado.
Outras plataformas Cloud HSM
A SSL.com está atualmente desenvolvendo e testando procedimentos para emissão de certificados de assinatura de documentos em uma ampla gama de serviços e hardware HSM. Se você deseja manifestar interesse em solicitar certificados para uma plataforma que ainda não oferecemos suporte e receber atualizações sobre os HSMs compatíveis, preencha nosso Formulário de inquérito HSM.
Precisa de mais recursos para sua conta SSL.com? Confira estas páginas: