SSL.com в настоящее время поддерживает Облако AWSHSM, Выделенный HSM Azureкачества Google Cloud HSM для выдачи доверенных Adobe сертификаты подписи документов, Сертификаты подписи кода IV/OVкачества Сертификаты подписи кода EV. Все эти облачные службы HSM предоставляют аппаратное обеспечение HSM, прошедшее проверку FIPS 140-2 уровня 3, для создания и хранения ключей шифрования. В этом руководстве представлен обзор генерации ключей, аттестации и заказа сертификатов для этих облачных платформ HSM, а также информация о ценах на сертификаты, установленные на облачных HSM.
Прежде чем SSL.com сможет подписывать и выдавать сертификаты подписи кода или сертификаты подписи документов, которым доверяет Adobe, мы должны сначала получить подтверждение того, что закрытый ключ подписи клиента был сгенерирован и надежно хранится на сертифицированном FIPS 140-2 уровня 2 (или выше). устройство, с которого его нельзя экспортировать. Акт доказательства того, что закрытый ключ соответствует этим требованиям, известен как засвидетельствование. Точные процедуры аттестации закрытого ключа различаются для разных устройств и платформ облачных вычислений.
Веб-сервисы Amazon (AWS) CloudHSM
Веб-службы Amazon (AWS) ОблакоHSM В настоящее время служба не предоставляет каких-либо средств, с помощью которых SSL.com может автоматизировать аттестацию ключей, сгенерированных в HSM. По этой причине нам требуется церемония создания пары ключей с удаленным присутствием, прежде чем мы сможем выдать сертификаты для подписи документов и подписи кода для установки в AWS CloudHSM. За эту процедуру удаленного наблюдения взимается дополнительная плата за время, затраченное персоналом SSL.com на церемонию.
Во время церемонии сотрудники SSL.com будут наблюдать за генерацией одной или нескольких пар криптографических ключей с неэкспортируемыми закрытыми ключами в экземпляре CloudHSM с помощью программного обеспечения для видеоконференцсвязи. После церемонии заказчик может отправить запрос на подпись сертификата (CSR) для подписания и выпуска на SSL.com. Пожалуйста, обратитесь к Amazon Документация по AWS CloudHSM для CSR инструкции по генерации.
Плата SSL.com за церемонии генерации ключей на AWS CloudHSM составляет 1200.00 долларов США.
Microsoft Azure, выделенный HSM
от Microsoft Выделенный HSM Azure Сервис использует SafeNet Luna Network HSM 7 Модель A790 HSM. Луна cmu инструмент командной строки может использоваться для генерации пары криптографических ключей и запроса на подпись сертификата (CSR) для подписи документов или кода, а также информацию, требуемую SSL.com для аттестации. Пожалуйста, обратитесь к Фалесу Документация по утилите управления сертификатами (CMU) для полных инструкций по работе с cmu утилита.
При создании пары ключей с cmu генерирует ключевую пару Утилита, убедитесь, что закрытый ключ не извлекается (настройка по умолчанию не извлекается). Вы должны создать свой CSR с cmu запрос сертификата команда.
После создания пары ключей и CSR, запросить файл подтверждения открытого ключа (PKC) для новых ключей с CMU getpkc команда. Этот файл может использоваться SSL.com для подтверждения того, что пара ключей была создана на совместимом оборудовании и закрытый ключ не подлежит экспорту.
После генерации пары ключей CSRи файл PKC, вы можете отправить CSR и PKC на SSL.com для проверки и подписания.
Комиссия SSL.com за подтверждение PKC выделенного HSM для Azure составляет 500.00 долларов США.
- Выделенный HSM Azure, для которого SSL.com может предоставлять службы удаленной аттестации. Приведите своего аудитора (BYOA) также можно использовать для служб Azure Dedicated HSM вместо предоставленной аттестации SSL.com.
- Azure Key Vault Managed HSM, который не обеспечивает удаленную аттестацию, и в настоящее время мы не можем аттестовать его напрямую в качестве ЦС соответствующим образом. Хотя мы принимаем использование управляемого HSM Azure Key Vault, генерация ключа должна быть проверена и подтверждена в письме от сертифицированного специалиста по безопасности, которое подробно описано в процесс BYOA.
Если в организации нет сертифицированного сотрудника службы безопасности, для этого можно привлечь внешних поставщиков услуг аттестации. Вот один пример: https://spearit.net/services/remote-key-attestation
Google Cloud HSM
Google Облако HSM Служба использует устройства, произведенные Marvell (ранее Cavium), которые могут создавать подписанные заявления об аттестации для криптографических ключей, которые SSL.com может проверить перед выдачей сертификатов подписи документов или подписи кода. Пожалуйста, обратитесь к Google Документация Cloud Key Management при создании пары ключей и заявления об аттестации:
После генерации пары ключей CSR, и заявление об аттестации, вы можете отправить их на SSL.com для проверки и подписания. Пользователь GitHub матовый предоставил утилита с открытым исходным кодом для создания CSR и подписывая его закрытым ключом от Google Cloud HSM.
Плата SSL.com за аттестацию Google Cloud HSM составляет 500.00 долларов США.
Приведите своего собственного аудитора (BYOA)
Аттестацию также могут проводить другие квалифицированные лица, имеющие признанные сертификаты кибербезопасности. Мы называем это «Пригласите собственного аудитора», когда владелец HSM использует средства для аттестации генерации ключей, отличные от услуг аттестации SSL.com.
Опция BYOA может использоваться для выполнения любых Церемония генерации ключей (KGC) совместимого HSM даже для тех HSM, для которых SSL.com не предоставляет услуги аттестации.
БЁА требует тщательной подготовки, в противном случае существует значительный риск отказа в сгенерированном ключе. Это может произойти, если используемое устройство не соответствует требованиям, аудитор не имеет квалификации или отчет аудитора не охватывает требования процесса. В таком случае церемонию придется повторить, что приведет к дополнительным затратам и задержкам для клиента.
Чтобы избежать таких сценариев, служба поддержки клиентов SSL.com и/или специалисты по проверке связываются с клиентом до того, как КГК дать рекомендации и обеспечить следующее:
- Аудитор утверждается в соответствии с критериями, описанными ниже.
- Требования к подготовке к церемонии, а также сценарий церемонии ясны и тщательно соблюдаются, чтобы среда КГК была должным образом подготовлена.
- Любые ограничения и / или положения и условия, относящиеся к BYOA, ясны и принимаются клиентом.
Подробная информация о требованиях к внешним аудиторам можно найти здесь.
Уровни ценообразования Cloud HSM
Для сертификатов, установленных на облачных платформах HSM, SSL.com предлагает следующие уровни ценообразования, основанные на максимальном количестве подписок в год.
| Ярус | Цена | Подписей в год |
| Уровень бесплатного пользования | Базовая цена сертификата | 1,000 |
| Tier 1 | Базовая цена + 180.00 $ | 2,000 |
| Tier 2 | Базовая цена + 300.00 $ | 5,000 |
| Tier 3 | Базовая цена + 500.00 $ | 10,000 |
| Tier 4 | Связаться с отделом продаж | > 10,000 |
Форма запроса на обслуживание Cloud HSM
Если вы хотите заказать цифровые сертификаты для установки на поддерживаемой облачной платформе HSM (AWS CloudHSM или Azure Dedicated HSM), заполните и отправьте форму ниже. После того, как мы получим ваш запрос, сотрудник SSL.com свяжется с вами и предоставит более подробную информацию о процессе заказа и аттестации.
Другие платформы Cloud HSM
В настоящее время SSL.com разрабатывает и тестирует процедуры выдачи сертификатов подписи документов для широкого спектра услуг и оборудования HSM. Если вы хотели бы выразить заинтересованность в заказе сертификатов для платформы, которую мы еще не поддерживаем, и получать обновления для поддерживаемых нами HSM, пожалуйста, заполните нашу Форма запроса HSM.
Нужны дополнительные ресурсы для вашей учетной записи SSL.com? Проверьте эти страницы:
