Generera en begäran om certifikatsignering i Azure Key Vault

Från och med den 1 juni 2023 har SSL.com uppdaterat sina nyckellagringsprotokoll för kodsigneringscertifikat för att följa nya riktlinjer utfärdade av Certificate Authority/Browser (CA/B) Forum. Nu måste privata nycklar säkras i krypterade USB-tokens, på plats FIPS-kompatibla hårdvarusäkerhetsmoduler (HSM) eller via molnbaserade HSM-tjänster. Bland de moln-HSM-alternativ som stöds utmärker sig Microsoft Azure Key Vault (Premium Tier) som ett robust val för att lagra privata nycklar och generera certifikatsigneringsförfrågningar (CSRs). 

När du ansöker om ett signeringscertifikat med SSL.com inkluderar processen att generera en begäran om certifikatsignering (CSR) som fungerar som en formell begäran för SSL.com att validera och binda din identitet till ett signeringscertifikat. Följande avsnitt visar hur man genererar en CSR i Azure Key Vault (Premium Tier).

Förutsättningar

  1.  Ett Azure Key Vault (Premium Tier). Azure Key Vault-tjänstnivån som ska användas för den här processen är Premium eftersom den är FIPS 140-2 nivå 3 validerad.
    1. För instruktioner om hur du skapar ett Azure Key Vault, se nästa avsnitt: Skapa ett Azure Key Vault.
    2. Om du redan har ett befintligt Azure Key Vault, fortsätt till det andra avsnittet: Generera en begäran om certifikatsignering i Azure Key Vault.
  2. En signeringscertifikatorder från SSL.com. 
För en komplett lista över moln-HSM som SSL.com stöder för kodsignering, se den här artikeln: Cloud HSMs som stöds för dokumentsignering och kodsignering.

Skapa ett Azure Key Vault

  1. Logga in på Azur portalen.

  2. Klicka Skapa en resurs.
  3. Bläddra till Nyckelvalv och klicka på Skapa länken.

  4. Enligt Grunderna utför följande.
    1. Välj prenumeration och resursgrupp. Om det behövs kan du skapa en ny resursgrupp genom att klicka Skapa ny.
    2. Tilldela ett namn och en region. Ange ett namn för ditt nyckelvalv och välj en region.
    3. Välj premiumprisnivån. För att följa FIPS 140-2-standarden, välj "Premium"-prisnivån.
    4. Konfigurera återställningsalternativ. Ställ in återställningsalternativen för ditt nyckelvalv, inklusive rensningsskydd och lagringsperioden för raderade valv.
    5. Klicka på Nästa knappen för att fortsätta till Öppna konfigurationsinställningar sektion.

  5. Klicka Åtkomst till konfiguration. Ställ in åtkomstpolicyerna för ditt Key Vault.
  6. Klicka nätverk. Välj en anslutningsmetod för ditt Key Vault.
  7. Klicka Tags. Om så önskas, skapa taggar för ditt Key Vault.

  8. Fortsätt att Granska + skapa. översyn dina inställningar och klicka sedan på knappen Skapa för att skapa ditt nya nyckelvalv.

  9. Azure skapar sedan ditt nya nyckelvalv. När den är klar kan du komma åt den genom att klicka på Gå till resursen knapp.

Generera en begäran om certifikatsignering i Azure Key Vault

  1. Välj ditt nyckelvalv och klicka Certifikat.

  2. Klicka på Generera / Import knappen för att öppna Skapa ett certifikat fönster.

  3. Utför följande fält:
    1. Metod för att skapa certifikat: Välj "Generera".
    2. Certifikatnamn: Ange ett unikt namn för ditt certifikat.
    3. Typ av certifikatutfärdare (CA): Välj "Certifikat utfärdat av en icke-integrerad CA."
    4. Ämne: Ange X.509 Distinguished Name för ditt certifikat.
    5. Giltighetsperiod: Du kan lämna denna inställning till standardinställningen 12 månader. För kodsigneringscertifikat med längre giltighetsperioder kommer det utfärdade certifikatet att matcha din beställning, inte CSR.
    6. Innehållstyp: Välj "PEM."
    7. Livstidsåtgärdstyp: Konfigurera Azure för att skicka e-postvarningar baserat på en viss procentandel av certifikatets livslängd eller ett specifikt antal dagar innan utgången.
  4. Avancerad policykonfiguration. Klicka på Advanced Policy Configuration för att ställa in nyckelstorlek, typ och principer för nyckelåteranvändning och exporterbarhet.
    1. För certifikat utfärdade av SSL.com kan du lämna Utökade nyckelanvändningar (EKU), X.509 Nyckelanvändningsflaggoroch Aktivera transparens för certifikat till sina standardvärden.
    2. Återanvända nyckel vid förnyelse? Välj Nej.
    3. Exportbar privat nyckel? Välj Nej.
    4. Nyckeltyp. Välj RSA+HSM
    5. Nyckelstorlek. För ett kodsigneringscertifikat kan du bara välja mellan 3072 eller 4096.

  5.  När du är klar med att ställa in den avancerade policykonfigurationen klickar du på OK knappen följt av Skapa.

  6. Certifikat sektionen, leta reda på ditt certifikat i listan över pågår, misslyckades eller avbröts certifikat och klicka på den.
  7. Klicka Certifikatdrift.

  8. Klicka Download CSR och spara filen på en säker plats.

Skicka in begäran om certifikatsignering (CSR) till SSL.com 

Den nedladdade CSR filen kommer att skickas till SSL.com-agenten som tilldelats abonnenten. Efter detta fortsätter processen till verifiering av CSR. SSL.com-agenten som tilldelats abonnenten kommer att tillhandahålla uppdateringar tills signeringscertifikatet är klart för utfärdande.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.