SSL.com stöder för närvarande AWS CloudHSM, Azure dedikerad HSMoch Google Cloud HSM för utfärdande av Adobe-betrodda dokumentunderskrivningscertifikat, IV/OV-kodsigneringscertifikatoch EV-kod signeringscertifikat. Alla dessa HSM-tjänster i moln tillhandahåller FIPS 140-2 nivå 3-validerad HSM-maskinvara för att generera och lagra krypteringsnycklar. Den här guiden ger en översikt över nyckelgenerering, attestering och certifikatbeställning för dessa HSM-plattformar och inkluderar prisinformation för certifikat installerade på HSM-moln.
Innan SSL.com kan signera och utfärda kodsignering eller Adobe-betrodda dokumentsigneringscertifikat måste vi först skaffa bevis på att kundens privata signeringsnyckel har genererats av och är säkert lagrad på en FIPS 140-2 Level 2 (eller högre) certifierad enhet, från vilken den inte kan exporteras. Handlingen att bevisa att en privat nyckel uppfyller dessa krav kallas intyg. De exakta procedurerna för attestering av privata nycklar varierar mellan enheter och datorplattformar.
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) CloudHSM tjänsten tillhandahåller för närvarande inte något sätt på vilket SSL.com kan automatisera attestering av nycklar som genereras på HSM. Av denna anledning kräver vi en fjärrbevittnad ceremoni för att skapa nyckelpar innan vi kan utfärda dokumentsignerings- och kodsigneringscertifikat för installation på AWS CloudHSM. Denna procedur för fjärrbevittnande kommer att medföra en extra kostnad för tid som SSL.coms personal spenderar på ceremonin.
Under ceremonin kommer SSL.com-personal att observera genereringen av ett eller flera kryptografiska nyckelpar med icke-exporterbara privata nycklar i en CloudHSM-instans via programvara för videokonferenser. Efter ceremonin kan kunden lämna in en begäran om certifikatsignering (CSR) för signering och utfärdande av SSL.com. Se Amazons AWS CloudHSM-dokumentation för CSR generationens instruktioner.
SSL.coms avgift för nyckelgenereringsceremonier på AWS CloudHSM är $ 1200.00 USD.
Microsoft Azure Key Management Solutions
- Azure Key Vault (Premium Tier) och Azure Key Vault Managed HSM som inte tillhandahåller fjärrbekräftelse och vi kan för närvarande inte intyga direkt som CA på ett kompatibelt sätt. Även om vi accepterar användningen av Azure Key Vault Managed HSM, måste den kompatibla nyckelgenereringen granskas och attesteras i ett brev från en certifierad säkerhetsexpert som beskrivs i BYOA-processen.
- Azure dedikerad HSM för vilka SSL.com kan tillhandahålla fjärrattesteringstjänster. Ta med din egen revisor (BYOA) kan också användas för Azure Key Vault och Azure Dedicated HSM-tjänster i stället för tillhandahållet SSL.com-attest.
Om det inte finns någon certifierad säkerhetsansvarig i organisationen finns det externa leverantörer av attesteringstjänster som kan anlitas för att göra det. Här är ett exempel: https://spearit.net/services/remote-key-attestation
Microsofts Azure dedikerad HSM tjänsten använder SafeNet Luna Network HSM 7 Model A790 HSM. Luna cmu kommandoradsverktyg kan användas för att generera ett kryptografiskt nyckelpar och en begäran om certifikatsignering (CSR) för dokumentsignering eller kodsignering, tillsammans med information som krävs av SSL.com för attestering. Se Thales' Certificate Management Utility (CMU) -dokumentation för fullständiga instruktioner om hur du arbetar med cmu verktyg.
När du genererar ditt nyckelpar med cmu generatypyp verktyget, se till att den privata nyckeln inte är utdragbar (standardinställningen är inte utdragbar). Du bör generera din CSR med cmu begäran certifikat kommando.
Efter att du skapat ditt nyckelpar och CSR, begär en bekräftelsefil (PKC) för de nya nycklarna med cmu getpkc kommando. Den här filen kan användas av SSL.com för att bekräfta att nyckelparet genererades på kompatibel maskinvara och att den privata nyckeln inte kan exporteras.
Efter att ha skapat ditt nyckelpar, CSRoch PKC-fil kan du skicka in CSR och PKC till SSL.com för validering och signering.
SSL.coms avgift för Azure Dedicated HSM PKC-bekräftelse är $ 500.00 USD.
Google Cloud HSM
Googles Moln HSM tjänsten använder enheter tillverkade av Marvell (tidigare Cavium), som kan producera signerade attestationsutlåtanden för kryptografiska nycklar som SSL.com kan verifiera innan dokumentsignering eller kodsigneringscertifikat utfärdas. Se Googles Cloud Key Management-dokumentation när du genererar ditt nyckelpar och intyg:
Efter att ha skapat ditt nyckelpar, CSR, och intyg, kan du skicka dem till SSL.com för validering och signering. GitHub-användare Skärsten har tillhandahållit en open source-verktyg för att skapa en CSR och signera den med en privat nyckel från Google Cloud HSM.
SSL.coms avgift för Google Cloud HSM-intyg är $500.00 USD.
Ta med din egen revisor (BYOA)
Intyg kan också utföras av andra kvalificerade personer som har erkända cybersäkerhetscertifieringar. Vi kallar detta "Bring Your Own Auditor" när ägaren av HSM använder andra medel för att skapa nyckelgenerering än att använda SSL.coms attestationstjänster.
Alternativet BYOA kan användas för att utföra alla Key Generation Ceremony (KGC) av en kompatibel HSM även för de HSM:er som SSL.com inte tillhandahåller attestationstjänster för.
BYOA kräver noggrann förberedelse, annars finns det en betydande risk för avslag för den genererade nyckeln. Detta kan hända om den använda enheten inte överensstämmer, revisorn inte är kvalificerad eller om revisionsberättelsen inte täcker processens krav. I ett sådant fall kommer ceremonin att behöva upprepas, vilket resulterar i extra kostnader och förseningar för klienten.
För att undvika sådana scenarier kommunicerar SSL.coms kundsupport och/eller valideringsspecialister med kunden innan KGC att ge vägledning och säkerställa följande:
- Revisorn är godkänd enligt nedan beskrivna kriterier
- Kraven för ceremoniförberedelser, såväl som ceremonimanus, är tydliga och följs noggrant så att KGC-miljön är ordentligt förberedd
- Eventuella begränsningar och/eller BYOA-specifika villkor är tydliga och accepterade av kunden
Detaljer om krav på externa revisorer kan hittas här.
Prissättningsnivåer för moln HSM
För certifikat installerade på moln HSM-plattformar erbjuder SSL.com följande prisnivåer, baserat på det maximala antalet signeringar per år.
| Tier | Pris | Underteckningar per år |
| Gratis nivå | Bascertifikatpris | 1,000 |
| Tier 1 | Baspris + 180.00 $ | 2,000 |
| Tier 2 | Baspris + 300.00 $ | 5,000 |
| Tier 3 | Baspris + 500.00 $ | 10,000 |
| Tier 4 | Kontakt Försäljning | > 10,000 |
Cloud HSM-tjänsteförfrågningsformulär
Om du vill beställa digitala certifikat för installation på en moln-HSM-plattform (AWS CloudHSM eller Azure Dedicated HSM), vänligen fyll i och skicka in formuläret nedan. Efter att vi har tagit emot din förfrågan kommer en medlem av SSL.coms personal att kontakta dig med mer information om beställnings- och attestprocessen.
Andra Cloud HSM-plattformar
SSL.com utvecklar och testar för närvarande rutiner för utfärdande av dokumentsigneringscertifikat på ett brett utbud av HSM-tjänster och hårdvara. Om du vill uttrycka ditt intresse för att beställa certifikat för en plattform som vi ännu inte stöder och får uppdateringar om de HSM vi stödjer, vänligen fyll i vår HSM-förfrågningsformulär.
Behöver du fler resurser för ditt SSL.com-konto? Kolla in dessa sidor:
