Cloud HSMs som stöds för dokumentsignering och kodsignering

SSL.com stöder för närvarande AWS CloudHSM, Azure dedikerad HSMoch Google Cloud HSM för utfärdande av Adobe-betrodda dokumentunderskrivningscertifikat, IV/OV-kodsigneringscertifikatoch EV-kod signeringscertifikat. Alla dessa HSM-tjänster i moln tillhandahåller FIPS 140-2 nivå 3-validerad HSM-maskinvara för att generera och lagra krypteringsnycklar. Den här guiden ger en översikt över nyckelgenerering, attestering och certifikatbeställning för dessa HSM-plattformar och inkluderar prisinformation för certifikat installerade på HSM-moln.

Vad är intyg?
Innan SSL.com kan signera och utfärda kodsignering eller Adobe-betrodda dokumentsigneringscertifikat måste vi först skaffa bevis på att kundens privata signeringsnyckel har genererats av och är säkert lagrad på en FIPS 140-2 Level 2 (eller högre) certifierad enhet, från vilken den inte kan exporteras. Handlingen att bevisa att en privat nyckel uppfyller dessa krav kallas intyg. De exakta procedurerna för attestering av privata nycklar varierar mellan enheter och datorplattformar.

Amazon Web Services (AWS) CloudHSM

Amazon Web Services (AWS) CloudHSM tjänsten tillhandahåller för närvarande inte något sätt på vilket SSL.com kan automatisera attestering av nycklar som genereras på HSM. Av denna anledning kräver vi en fjärrbevittnad ceremoni för att skapa nyckelpar innan vi kan utfärda dokumentsignerings- och kodsigneringscertifikat för installation på AWS CloudHSM. Denna procedur för fjärrbevittnande kommer att medföra en extra kostnad för tid som SSL.coms personal spenderar på ceremonin.

Under ceremonin kommer SSL.com-personal att observera genereringen av ett eller flera kryptografiska nyckelpar med icke-exporterbara privata nycklar i en CloudHSM-instans via programvara för videokonferenser. Efter ceremonin kan kunden lämna in en begäran om certifikatsignering (CSR) för signering och utfärdande av SSL.com. Se Amazons AWS CloudHSM-dokumentation för CSR generationens instruktioner.

SSL.coms avgift för nyckelgenereringsceremonier på AWS CloudHSM är $ 1200.00 USD.

Microsoft Azure dedikerad HSM

Microsofts Azure dedikerad HSM tjänsten använder SafeNet Luna Network HSM 7 Model A790 HSM. Luna cmu kommandoradsverktyg kan användas för att generera ett kryptografiskt nyckelpar och en begäran om certifikatsignering (CSR) för dokumentsignering eller kodsignering, tillsammans med information som krävs av SSL.com för attestering. Se Thales' Certificate Management Utility (CMU) -dokumentation för fullständiga instruktioner om hur du arbetar med cmu verktyg.

När du genererar ditt nyckelpar med cmu generatypyp verktyget, se till att den privata nyckeln inte är utdragbar (standardinställningen är inte utdragbar). Du bör generera din CSR med cmu begäran certifikat kommando.

Efter att du skapat ditt nyckelpar och CSR, begär en bekräftelsefil (PKC) för de nya nycklarna med cmu getpkc kommando. Den här filen kan användas av SSL.com för att bekräfta att nyckelparet genererades på kompatibel maskinvara och att den privata nyckeln inte kan exporteras.

Efter att ha skapat ditt nyckelpar, CSRoch PKC-fil kan du skicka in CSR och PKC till SSL.com för validering och signering.

SSL.coms avgift för Azure Dedicated HSM PKC-bekräftelse är $ 500.00 USD.

Det finns tre typer av Azure-nyckelhanteringslösningar som SSL.com kan använda för att signera certifikat:

  • Azure Key Vault (Premium Tier) och Azure Dedicated HSM för vilken SSL.com kan tillhandahålla fjärrattesteringstjänster. Ta med din egen revisor (BYOA) kan också användas för Azure Key Vault och Azure Dedicated HSM-tjänster i stället för tillhandahållet SSL.com-attest. 
  • Azure Key Vault Managed HSM som inte tillhandahåller fjärrbekräftelse och vi kan för närvarande inte intyga direkt som en CA på ett kompatibelt sätt. Även om vi accepterar användningen av Azure Key Vault Managed HSM, måste den kompatibla nyckelgenereringen granskas och attesteras i ett brev från en certifierad säkerhetsexpert som beskrivs i BYOA-processen.

Om det inte finns någon certifierad säkerhetsansvarig i organisationen finns det externa leverantörer av attesteringstjänster som kan anlitas för att göra det. Här är ett exempel: https://spearit.net/services/remote-key-attestation

Google Cloud HSM

Googles Moln HSM tjänsten använder enheter tillverkade av Marvell (tidigare Cavium), som kan producera signerade attestationsutlåtanden för kryptografiska nycklar som SSL.com kan verifiera innan dokumentsignering eller kodsigneringscertifikat utfärdas. Se Googles Cloud Key Management-dokumentation när du genererar ditt nyckelpar och intyg:

Efter att ha skapat ditt nyckelpar, CSR, och intyg, kan du skicka dem till SSL.com för validering och signering. GitHub-användare Skärsten har tillhandahållit en open source-verktyg för att skapa en CSR och signera den med en privat nyckel från Google Cloud HSM.

SSL.coms avgift för Google Cloud HSM-intyg är $500.00 USD.

Ta med din egen revisor (BYOA)

Intyg kan också utföras av andra kvalificerade personer som har erkända cybersäkerhetscertifieringar. Vi kallar detta "Bring Your Own Auditor" när ägaren av HSM använder andra medel för att skapa nyckelgenerering än att använda SSL.coms attestationstjänster. 

Alternativet BYOA kan användas för att utföra alla Key Generation Ceremony (KGC) av en kompatibel HSM även för de HSM:er som SSL.com inte tillhandahåller attestationstjänster för. 

BYOA kräver noggrann förberedelse, annars finns det en betydande risk för avslag för den genererade nyckeln. Detta kan hända om den använda enheten inte överensstämmer, revisorn inte är kvalificerad eller om revisionsberättelsen inte täcker processens krav. I ett sådant fall kommer ceremonin att behöva upprepas, vilket resulterar i extra kostnader och förseningar för klienten. 

För att undvika sådana scenarier kommunicerar SSL.coms kundsupport och/eller valideringsspecialister med kunden innan KGC att ge vägledning och säkerställa följande:

  • Revisorn är godkänd enligt nedan beskrivna kriterier
  • Kraven för ceremoniförberedelser, såväl som ceremonimanus, är tydliga och följs noggrant så att KGC-miljön är ordentligt förberedd
  • Eventuella begränsningar och/eller BYOA-specifika villkor är tydliga och accepterade av kunden

Detaljer om krav på externa revisorer kan hittas här.

Prissättningsnivåer för moln HSM

För certifikat installerade på moln HSM-plattformar erbjuder SSL.com följande prisnivåer, baserat på det maximala antalet signeringar per år.

Tier Pris Underteckningar per år
Gratis nivå Bascertifikatpris 1,000
Tier 1 Baspris + 180.00 $ 2,000
Tier 2 Baspris + 300.00 $ 5,000
Tier 3 Baspris + 500.00 $ 10,000
Tier 4 Kontakt Försäljning > 10,000

Cloud HSM-tjänsteförfrågningsformulär

Om du vill beställa digitala certifikat för installation på en moln-HSM-plattform (AWS CloudHSM eller Azure Dedicated HSM), vänligen fyll i och skicka in formuläret nedan. Efter att vi har tagit emot din förfrågan kommer en medlem av SSL.coms personal att kontakta dig med mer information om beställnings- och attestprocessen.

Andra Cloud HSM-plattformar

SSL.com utvecklar och testar för närvarande rutiner för utfärdande av dokumentsigneringscertifikat på ett brett utbud av HSM-tjänster och hårdvara. Om du vill uttrycka ditt intresse för att beställa certifikat för en plattform som vi ännu inte stöder och får uppdateringar om de HSM vi stödjer, vänligen fyll i vår HSM-förfrågningsformulär.

Behöver du fler resurser för ditt SSL.com-konto? Kolla in dessa sidor: 

Twitter
Facebook
LinkedIn
reddit
E-postadress

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.