SSL.com atualmente suporta AWS CloudHSM, HSM dedicado Azuree Google Cloud HSM para emissão de confiável da Adobe certificados de assinatura de documentos e Certificados de assinatura de código EV. Todos esses serviços de HSM em nuvem fornecem hardware HSM validado FIPS 140-2 Nível 3 para gerar e armazenar chaves de criptografia. Este guia fornece uma visão geral da geração de chave, atestado e pedido de certificado para essas plataformas de HSM em nuvem e inclui informações de preços para certificados instalados em HSMs em nuvem.
Antes que SSL.com possa assinar e emitir certificados de assinatura de código EV ou certificados de assinatura de documentos confiáveis da Adobe, devemos primeiro obter prova de que a chave de assinatura privada do cliente foi gerada e está armazenada com segurança em um FIPS 140-2 Nível 2 (ou superior) dispositivo certificado, do qual não pode ser exportado. O ato de provar que uma chave privada atende a esses requisitos é conhecido como atestado. Os procedimentos exatos para atestado de chave privada variam entre dispositivos e plataformas de computação em nuvem.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM O serviço atualmente não fornece nenhum meio pelo qual SSL.com possa automatizar a confirmação de chaves geradas no HSM. Por esse motivo, exigimos uma cerimônia de geração de par de chaves testemunhada remotamente antes de podermos emitir certificados de assinatura de documento e assinatura de código EV para instalação no AWS CloudHSM. Este procedimento de testemunho remoto incorrerá em uma cobrança extra pelo tempo gasto pela equipe do SSL.com na cerimônia.
Durante a cerimônia, a equipe SSL.com observará a geração de um ou mais pares de chaves criptográficas com chaves privadas não exportáveis em uma instância do CloudHSM por meio de software de videoconferência. Após a cerimônia, o cliente pode enviar um pedido de assinatura de certificado (CSR) para assinatura e emissão por SSL.com. Consulte a Amazon's Documentação AWS CloudHSM por CSR instruções de geração.
A taxa de SSL.com para cerimônias de geração de chaves no AWS CloudHSM é de US $ 1200.00.
HSM dedicado do Microsoft Azure
Microsoft HSM dedicado Azure serviço usa o SafeNet Luna Network HSM 7 Modelo A790 HSM. A lua cmu
ferramenta de linha de comando pode ser usada para gerar um par de chaves criptográficas e solicitação de assinatura de certificado (CSR) para assinatura de documento ou assinatura de código EV, junto com as informações exigidas por SSL.com para atestado. Consulte a Thales ' Documentação do Certificate Management Utility (CMU) para obter instruções completas sobre como trabalhar com o cmu
utilidade.
Ao gerar seu par de chaves com o cmu gerar par de chaves utilitário, certifique-se de que a chave privada não possa ser extraída (a configuração padrão é não extraível). Você deve gerar seu CSR com o certificado de solicitação cmu comando.
Depois de gerar seu par de chaves e CSR, solicite um arquivo de confirmação de chave pública (PKC) para as novas chaves com o cmu getpkc comando. Este arquivo pode ser usado por SSL.com para confirmar que o par de chaves foi gerado em um hardware compatível e que a chave privada não pode ser exportada.
Depois de gerar seu par de chaves, CSRe arquivo PKC, você pode enviar o CSR e PKC para SSL.com para validação e assinatura.
A taxa de SSL.com para confirmação de PKC do Azure Dedicated HSM é de $ 500.00 USD.
Google Cloud HSM
Google Nuvem HSM O serviço usa dispositivos fabricados pela Marvell (anteriormente Cavium), que pode produzir declarações de atestado assinadas para chaves criptográficas que SSL.com pode verificar antes de emitir certificados de assinatura de documento ou de assinatura de código EV. Consulte o Google Documentação do Cloud Key Management ao gerar seu par de chaves e declaração de atestado:
Depois de gerar seu par de chaves, CSRe declaração de atestado, você pode enviá-los para SSL.com para validação e assinatura. Usuário GitHub Mates forneceu um utilitário de código aberto para criar um CSR e assiná-lo com uma chave privada do Google Cloud HSM.
A taxa de SSL.com para o atestado do Google Cloud HSM é de US $ 500.00.
Traga seu próprio auditor (BYOA)
BYOA é uma alternativa válida para os clientes, mas requer uma preparação minuciosa, caso contrário, existe um risco significativo de rejeição da chave gerada. Isso pode acontecer se o dispositivo usado não for compatível, ou o auditor não for qualificado, ou se o relatório do auditor não cobrir os requisitos do processo. Nesse caso, a cerimônia e seu testemunho devem ser repetidos, resultando em custos adicionais e atrasos para o cliente.
Para evitar tais cenários, o suporte ao cliente SSL.com e / ou especialistas em validação se comunicam com o cliente antes do KGC para fornecer orientação e garantir o seguinte:
- O auditor é aprovado de acordo com os critérios descritos abaixo
- Os requisitos de preparação da cerimônia, bem como o roteiro da cerimônia são claros e seguidos completamente, para que o ambiente do KGC seja bem preparado
- Quaisquer restrições e / ou termos e condições específicos do BYOA são claros e aceitos pelo cliente
Níveis de preços do Cloud HSM
Para certificados instalados em plataformas HSM em nuvem, SSL.com oferece os seguintes níveis de preços, com base no número máximo de assinaturas por ano.
camada | Preço | Contratações por ano |
Nível grátis | Preço base do certificado | 1,000 |
Nível 1 | Preço Base + $ 180.00 | 2,000 |
Nível 2 | Preço Base + $ 300.00 | 5,000 |
Nível 3 | Preço Base + $ 500.00 | 10,000 |
Nível 4 | Contato de Vendas | > 10,000 |
Formulário de solicitação de serviço Cloud HSM
Se desejar solicitar certificados digitais para instalação em uma plataforma HSM em nuvem com suporte (AWS CloudHSM ou Azure Dedicated HSM), preencha e envie o formulário abaixo. Após recebermos sua solicitação, um membro da equipe de SSL.com entrará em contato com você com mais detalhes sobre o processo de pedido e certificação.
Outras plataformas Cloud HSM
SSL.com está atualmente desenvolvendo e testando procedimentos para a emissão de certificados de assinatura de documentos em uma ampla gama de serviços e hardware HSM. Se você gostaria de expressar interesse em solicitar certificados para uma plataforma que ainda não suportamos e receber atualizações sobre os HSMs que apoiamos, preencha nosso Formulário de inquérito HSM.
Precisa de mais recursos para sua conta SSL.com? Confira estas páginas: