ปัจจุบัน SSL.com รองรับ AWS CloudHSM, HSM เฉพาะของ Azureและ Google Cloud HSM สำหรับการออก Adobe-trust ใบรับรองการลงนามเอกสาร, ใบรับรองการลงนามรหัส IV / OVและ ใบรับรองการลงนามรหัส EV. บริการ HSM บนคลาวด์ทั้งหมดนี้มีฮาร์ดแวร์ HSM ที่ผ่านการตรวจสอบความถูกต้อง FIPS 140-2 ระดับ 3 สำหรับการสร้างและจัดเก็บคีย์การเข้ารหัส คู่มือนี้ให้ภาพรวมของการสร้างคีย์การรับรองและการสั่งซื้อใบรับรองสำหรับแพลตฟอร์ม HSM บนคลาวด์เหล่านี้และรวมถึงข้อมูลราคาสำหรับใบรับรองที่ติดตั้งบน HSM บนคลาวด์
ก่อนที่ SSL.com จะสามารถลงนามและออกใบรับรองการลงนามรหัสหรือใบรับรองการลงนามเอกสารที่เชื่อถือได้ของ Adobe ก่อนอื่นเราต้องได้รับหลักฐานว่าคีย์การลงนามส่วนตัวของลูกค้าถูกสร้างขึ้นโดยและจัดเก็บอย่างปลอดภัยในใบรับรอง FIPS 140-2 ระดับ 2 (หรือสูงกว่า) อุปกรณ์ซึ่งไม่สามารถส่งออกได้ การพิสูจน์ว่าคีย์ส่วนตัวเป็นไปตามข้อกำหนดเหล่านี้เรียกว่า การรับรอง. ขั้นตอนที่แน่นอนสำหรับการยืนยันคีย์ส่วนตัวจะแตกต่างกันไประหว่างอุปกรณ์และแพลตฟอร์มคลาวด์คอมพิวติ้ง
Amazon Web Services (AWS) CloudHSM
Amazon Web Services (AWS) คลาวด์ ขณะนี้บริการไม่ได้ให้วิธีการใด ๆ ที่ SSL.com สามารถรับรองคีย์ที่สร้างบน HSM ได้โดยอัตโนมัติ ด้วยเหตุผลนี้ เราจึงกำหนดให้มีพิธีสร้างคู่คีย์ที่มีการยืนยันจากระยะไกลก่อนที่เราจะสามารถออกใบรับรองการลงนามเอกสารและการลงนามรหัสสำหรับการติดตั้งบน AWS CloudHSM ขั้นตอนการเป็นพยานทางไกลนี้จะมีค่าใช้จ่ายเพิ่มเติมสำหรับเวลาที่เจ้าหน้าที่ SSL.com ใช้ในพิธี
ในระหว่างพิธีเจ้าหน้าที่ SSL.com จะเฝ้าสังเกตการสร้างคู่คีย์การเข้ารหัสอย่างน้อยหนึ่งคู่พร้อมคีย์ส่วนตัวที่ไม่สามารถส่งออกได้บนอินสแตนซ์ CloudHSM ผ่านซอฟต์แวร์การประชุมทางวิดีโอ หลังจากเสร็จสิ้นพิธีลูกค้าสามารถส่งคำขอลงนามใบรับรอง (CSR) สำหรับการลงนามและออกโดย SSL.com โปรดดูที่ Amazon's เอกสาร AWS CloudHSM for CSR คำแนะนำในการสร้าง
ค่าธรรมเนียมของ SSL.com สำหรับพิธีการสร้างคีย์บน AWS CloudHSM คือ $ 1200.00 USD
HSM เฉพาะของ Microsoft Azure
ไมโครซอฟท์ HSM เฉพาะของ Azure บริการใช้ SafeNet Luna Network HSM 7 รุ่น A790 HSM ลูน่า cmu เครื่องมือบรรทัดคำสั่งสามารถใช้ในการสร้างคู่คีย์การเข้ารหัสและคำขอลงนามใบรับรอง (CSR) สำหรับการลงนามในเอกสารหรือการลงนามรหัส พร้อมด้วยข้อมูลที่ SSL.com ต้องการสำหรับการยืนยัน โปรดดูที่ธาเลส เอกสาร Certificate Management Utility (CMU) สำหรับคำแนะนำทั้งหมดในการทำงานกับไฟล์ cmu ประโยชน์
เมื่อสร้างคู่คีย์ของคุณด้วย cmu สร้างคีย์คู่ ให้แน่ใจว่าคีย์ส่วนตัวนั้นไม่สามารถแตกไฟล์ได้ (การตั้งค่าเริ่มต้นนั้นไม่สามารถแยกได้) คุณควรสร้างของคุณ CSR กับ cmu ร้องขอใบรับรอง คำสั่ง
หลังจากสร้างคู่คีย์และ CSRขอไฟล์การยืนยันคีย์สาธารณะ (PKC) สำหรับคีย์ใหม่ด้วยไฟล์ cmu getpkc คำสั่ง SSL.com สามารถใช้ไฟล์นี้เพื่อยืนยันว่าคู่คีย์ถูกสร้างขึ้นบนฮาร์ดแวร์ที่เข้ากันได้และคีย์ส่วนตัวไม่สามารถส่งออกได้
หลังจากสร้างคู่กุญแจของคุณ CSRและไฟล์ PKC คุณสามารถส่ง CSR และ PKC ไปยัง SSL.com เพื่อตรวจสอบความถูกต้องและลงนาม
ค่าธรรมเนียมของ SSL.com สำหรับการยืนยัน HSM PKC ของ Azure โดยเฉพาะคือ $ 500.00 USD
- Azure Dedicated HSM ซึ่ง SSL.com สามารถให้บริการการรับรองระยะไกลได้ นำผู้สอบบัญชีของคุณเอง (BYOA) ยังสามารถใช้กับบริการ HSM เฉพาะของ Azure แทนการรับรอง SSL.com ที่มีให้
- Azure Key Vault Managed HSM ซึ่งไม่มีการรับรองจากระยะไกล และขณะนี้เราไม่สามารถรับรองโดยตรงในฐานะ CA ในวิธีที่สอดคล้องกัน แม้ว่าเราจะยอมรับการใช้ Azure Key Vault Managed HSM แต่การสร้างคีย์ที่สอดคล้องต้องได้รับการตรวจสอบและรับรองในจดหมายจากผู้เชี่ยวชาญด้านความปลอดภัยที่ผ่านการรับรองซึ่งมีรายละเอียดอยู่ใน กระบวนการ BYOA.
หากไม่มีเจ้าหน้าที่รักษาความปลอดภัยที่ผ่านการรับรองในองค์กร ก็มีผู้ให้บริการรับรองภายนอกที่สามารถดำเนินการดังกล่าวได้ นี่คือตัวอย่างหนึ่ง: https://spearit.net/services/remote-key-attestation
Google Cloud HSM
ของ Google คลาวด์ HSM บริการใช้อุปกรณ์ที่ผลิตโดย Marvell (เดิมชื่อ Cavium) ซึ่งสามารถสร้างข้อความรับรองที่ลงนามแล้วสำหรับคีย์การเข้ารหัสลับที่ SSL.com สามารถตรวจสอบได้ก่อนที่จะออกใบรับรองการลงนามเอกสารหรือรหัสการลงนาม โปรดดูที่ Google เอกสารการจัดการคีย์ระบบคลาวด์ เมื่อสร้างคู่คีย์และคำสั่งยืนยัน:
หลังจากสร้างคู่กุญแจของคุณ CSRและคำรับรองคุณสามารถส่งไปยัง SSL.com เพื่อตรวจสอบความถูกต้องและลงนาม ผู้ใช้ GitHub Mattes ได้จัดให้มี ยูทิลิตี้โอเพนซอร์ส สำหรับการสร้างไฟล์ CSR และลงนามด้วยคีย์ส่วนตัวจาก Google Cloud HSM
ค่าธรรมเนียม SSL.com สำหรับการรับรอง Google Cloud HSM คือ $500.00 USD
นำผู้สอบบัญชีของคุณเอง (BYOA)
การรับรองสามารถทำได้โดยบุคคลที่มีคุณสมบัติอื่น ๆ ซึ่งได้รับการรับรองความปลอดภัยทางไซเบอร์ เราเรียกสิ่งนี้ว่า “นำผู้ตรวจสอบบัญชีมาเอง” เมื่อเจ้าของ HSM ใช้วิธีการรับรองการสร้างคีย์นอกเหนือจากการใช้บริการรับรองของ SSL.com
สามารถใช้ตัวเลือก BYOA เพื่อดำเนินการใดๆ พิธีการสร้างคีย์ (KGC) ของ HSM ที่เป็นไปตามข้อกำหนด แม้แต่สำหรับ HSM เหล่านั้น SSL.com ก็ไม่ได้ให้บริการรับรองสำหรับ
บีโอเอ ต้องมีการเตรียมการอย่างละเอียด มิฉะนั้น มีความเสี่ยงสูงที่จะถูกปฏิเสธสำหรับรหัสที่สร้างขึ้น กรณีนี้อาจเกิดขึ้นได้หากอุปกรณ์ที่ใช้ไม่เป็นไปตามมาตรฐาน ผู้สอบบัญชีไม่มีคุณสมบัติ หรือรายงานของผู้สอบบัญชีไม่ครอบคลุมข้อกำหนดของกระบวนการ ในกรณีเช่นนี้ พิธีจะต้องทำซ้ำ ส่งผลให้ลูกค้ามีค่าใช้จ่ายเพิ่มเติมและเกิดความล่าช้า
เพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว ฝ่ายสนับสนุนลูกค้าและ/หรือผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องของ SSL.com จะสื่อสารกับลูกค้าก่อน กก เพื่อให้คำแนะนำและรับรองสิ่งต่อไปนี้:
- ผู้สอบบัญชีได้รับอนุมัติตามหลักเกณฑ์ด้านล่าง
- ข้อกำหนดในการเตรียมพิธี รวมถึงบทพิธีมีความชัดเจนและปฏิบัติตามอย่างถี่ถ้วน เพื่อให้สภาพแวดล้อมของ KGC ได้รับการจัดเตรียมอย่างเหมาะสม
- ข้อจำกัดและ/หรือข้อกำหนดและเงื่อนไขเฉพาะของ BYOA มีความชัดเจนและยอมรับโดยลูกค้า
รายละเอียดเกี่ยวกับข้อกำหนดสำหรับผู้ตรวจสอบภายนอก สามารถพบได้ที่นี่.
ระดับราคา Cloud HSM
สำหรับใบรับรองที่ติดตั้งบนแพลตฟอร์ม HSM บนคลาวด์ SSL.com เสนอระดับราคาดังต่อไปนี้ตามจำนวนการลงชื่อสูงสุดต่อปี
| ชั้น | ราคา | การลงนามต่อปี |
| ระดับฟรี | ราคาใบรับรองพื้นฐาน | 1,000 |
| 1 เงินกองทุนชั้นที่ | ราคาพื้นฐาน + $ 180.00 | 2,000 |
| 2 เงินกองทุนชั้นที่ | ราคาพื้นฐาน + $ 300.00 | 5,000 |
| 3 เงินกองทุนชั้นที่ | ราคาพื้นฐาน + $ 500.00 | 10,000 |
| 4 เงินกองทุนชั้นที่ | ติดต่อฝ่ายขาย | > 10,000 |
แบบฟอร์มคำขอบริการ Cloud HSM
หากคุณต้องการสั่งซื้อใบรับรองดิจิทัลเพื่อติดตั้งบนแพลตฟอร์ม Cloud HSM ที่รองรับ (AWS CloudHSM หรือ Azure Dedicated HSM) โปรดกรอกและส่งแบบฟอร์มด้านล่าง หลังจากที่เราได้รับคำขอของคุณ เจ้าหน้าที่ของ SSL.com จะติดต่อคุณเพื่อแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนการสั่งซื้อและการรับรอง
แพลตฟอร์ม Cloud HSM อื่น ๆ
SSL.com กำลังพัฒนาและทดสอบขั้นตอนในการออกใบรับรองการลงนามเอกสารในบริการและฮาร์ดแวร์ HSM ที่หลากหลาย หากคุณต้องการแสดงความสนใจในการสั่งซื้อใบรับรองสำหรับแพลตฟอร์มที่เรายังไม่รองรับและรับการอัปเดตเกี่ยวกับ HSM ที่เรารองรับ โปรดกรอก แบบฟอร์มสอบถาม HSM.
ต้องการทรัพยากรเพิ่มเติมสำหรับบัญชี SSL.com ของคุณหรือไม่ ตรวจสอบหน้าเหล่านี้:
