มีผลตั้งแต่วันที่ 1 มิถุนายน 2023 SSL.com ได้อัปเดตโปรโตคอลการจัดเก็บคีย์สำหรับใบรับรองการลงนามโค้ดเพื่อให้สอดคล้องกับแนวทางใหม่ที่ออกโดยฟอรัมผู้ออกใบรับรอง/เบราว์เซอร์ (CA/B) ขณะนี้คีย์ส่วนตัวจะต้องได้รับการรักษาความปลอดภัยในโทเค็น USB ที่เข้ารหัส โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่รองรับ FIPS ในสถานที่ หรือผ่านบริการ HSM บนคลาวด์ ในบรรดาตัวเลือก Cloud HSM ที่รองรับ Microsoft Azure Key Vault (Premium Tier) โดดเด่นในฐานะตัวเลือกที่แข็งแกร่งสำหรับการจัดเก็บคีย์ส่วนตัวและสร้างคำขอลงนามใบรับรอง (CSRs)
เมื่อสมัครขอใบรับรองการลงนามกับ SSL.com กระบวนการจะรวมถึงการสร้างคำขอลงนามใบรับรอง (CSR) ซึ่งทำหน้าที่เป็นคำขออย่างเป็นทางการสำหรับ SSL.com เพื่อตรวจสอบและผูกข้อมูลประจำตัวของคุณกับใบรับรองที่ลงนาม ส่วนต่อไปนี้สาธิตวิธีการสร้าง CSR ใน Azure Key Vault (ระดับพรีเมี่ยม)
เบื้องต้น
- Azure Key Vault (ระดับพรีเมี่ยม)- ระดับบริการ Azure Key Vault ที่ควรใช้สำหรับกระบวนการนี้คือ Premium เพราะผ่านการตรวจสอบ FIPS 140-2 ระดับ 3 แล้ว
- สำหรับคำแนะนำเกี่ยวกับวิธีการสร้าง Azure Key Vault โปรดดูส่วนถัดไป: สร้าง Azure Key Vault.
- หากคุณมี Azure Key Vault อยู่แล้ว โปรดดำเนินการในส่วนอื่น: สร้างคำขอลงนามใบรับรองใน Azure Key Vault
- คำสั่งใบรับรองการลงนามจาก SSL.com
สำหรับรายการ Cloud HSM ทั้งหมดที่ SSL.com รองรับการเซ็นโค้ด โปรดดูที่บทความนี้: รองรับ Cloud HSM สำหรับการลงนามเอกสารและการลงนามรหัส.
สร้าง Azure Key Vault
- ลงชื่อเข้าใช้ พอร์ทัล Azure.
- คลิก สร้างทรัพยากร.
- เลื่อนไปที่ ห้องนิรภัยที่สำคัญ และคลิกที่ สร้างบัญชีตัวแทน ลิงค์
- ภายใต้ ข้อมูลพื้นฐานเกี่ยวกับ ส่วนให้ดำเนินการดังต่อไปนี้
- เลือกการสมัครสมาชิกและกลุ่มทรัพยากร- หากจำเป็น คุณสามารถสร้างกลุ่มทรัพยากรใหม่ได้โดยการคลิก สร้างใหม่.
- กำหนดชื่อและภูมิภาค- ระบุชื่อ Key Vault ของคุณและเลือกภูมิภาค
- เลือกใช้ระดับราคาพรีเมียม- เพื่อให้เป็นไปตามมาตรฐาน FIPS 140-2 ให้เลือกระดับราคา "พรีเมียม"
- กำหนดค่าตัวเลือกการกู้คืน- ตั้งค่าตัวเลือกการกู้คืนสำหรับ Key Vault ของคุณ รวมถึงการป้องกันการล้างข้อมูลและระยะเวลาการเก็บรักษาสำหรับ Vault ที่ถูกลบ
- คลิก ถัดไป ปุ่มเพื่อดำเนินการต่อไปยัง เข้าถึงการตั้งค่าการกำหนดค่า มาตรา.
- คลิก การกำหนดค่าการเข้าถึง. กำหนดนโยบายการเข้าถึงสำหรับ Key Vault ของคุณ
- คลิก ระบบเครือข่าย. เลือกวิธีการเชื่อมต่อสำหรับ Key Vault ของคุณ
- คลิก แท็ก. หากต้องการให้สร้างแท็กสำหรับ Key Vault ของคุณ
- ดำเนินการต่อไป ตรวจสอบ + สร้าง. รีวิว การตั้งค่าของคุณ จากนั้นคลิกปุ่มสร้างเพื่อสร้าง Key Vault ใหม่ของคุณ
- Azure จะสร้าง Key Vault ใหม่ของคุณ เมื่อพร้อมแล้ว คุณสามารถเข้าถึงได้โดยคลิกที่ ไปที่ทรัพยากร ปุ่ม
สร้างคำขอลงนามใบรับรองใน Azure Key Vault
- เลือก Key Vault ของคุณแล้วคลิก ใบรับรอง.
- คลิก สร้าง / นำเข้า เพื่อเปิด สร้างใบรับรอง หน้าต่าง
- สำเร็จในสาขาต่อไปนี้:
- วิธีการสร้างใบรับรอง: เลือก “สร้าง”
- ชื่อใบรับรอง: ป้อนชื่อที่ไม่ซ้ำกันสำหรับใบรับรองของคุณ
- ประเภทของผู้ออกใบรับรอง (CA): เลือก “ใบรับรองที่ออกโดย CA ที่ไม่รวมเข้าด้วยกัน”
- เรื่อง: ระบุชื่อเฉพาะ X.509 สำหรับใบรับรองของคุณ
- ระยะเวลามีผล: คุณสามารถปล่อยให้การตั้งค่านี้เป็นค่าเริ่มต้นที่ 12 เดือน สำหรับใบรับรองการลงนามโค้ดที่มีระยะเวลาใช้งานได้นานกว่า ใบรับรองที่ออกจะตรงกับคำสั่งซื้อของคุณ ไม่ใช่ CSR.
- ชนิดของเนื้อหา: เลือก “พีอีเอ็ม”
- ประเภทการดำเนินการตลอดอายุการใช้งาน: กำหนดค่า Azure เพื่อส่งการแจ้งเตือนทางอีเมลตามเปอร์เซ็นต์ของอายุการใช้งานใบรับรองหรือจำนวนวันก่อนหมดอายุ
- การกำหนดค่านโยบายขั้นสูง. คลิกการกำหนดค่านโยบายขั้นสูงเพื่อตั้งค่าขนาด ประเภท และนโยบายสำหรับการใช้คีย์ซ้ำและความสามารถในการส่งออกคีย์
- สำหรับใบรับรองที่ออกโดย SSL.com คุณสามารถออกได้ การใช้คีย์เพิ่มเติม (EKUs), ธงการใช้งานคีย์ X.509และ เปิดใช้งานความโปร่งใสของใบรับรอง ตามค่าเริ่มต้น
- ใช้คีย์ซ้ำในการต่ออายุหรือไม่ เลือกหมายเลข
- คีย์ส่วนตัวที่ส่งออกได้? เลือกหมายเลข
- ประเภทคีย์. เลือก อาร์เอสเอ+เอชเอสเอ็ม
- ขนาดคีย์- สำหรับใบรับรองการลงนามรหัส คุณสามารถเลือกได้ระหว่าง 3072 หรือ 4096 เท่านั้น
- เมื่อคุณตั้งค่าการกำหนดค่านโยบายขั้นสูงเสร็จแล้ว ให้คลิก OK ปุ่มตามด้วย สร้างบัญชีตัวแทน.
- เกี่ยวกับ ใบรับรอง ส่วน ค้นหาใบรับรองของคุณในรายการ อยู่ระหว่างดำเนินการ ล้มเหลว หรือยกเลิก ใบรับรองแล้วคลิก
- คลิก การทำงานของใบรับรอง.
- คลิก ดาวน์โหลด CSR และบันทึกไฟล์ไว้ในตำแหน่งที่ปลอดภัย