Belge İmzalama ve Kod İmzalama için Desteklenen Bulut HSM'leri

Tüm Rehberleri Görüntüle

SSL.com şu anda destekler AWS BulutHSM, Azure Ayrılmış HSM, ve Google Bulut HSM Adobe tarafından güvenilen belge imzalama sertifikaları, IV/OV kod imzalama sertifikaları, ve EV kod imzalama sertifikaları. Tüm bu bulut HSM hizmetleri, şifreleme anahtarlarının oluşturulması ve depolanması için FIPS 140-2 Seviye 3 doğrulanmış HSM donanımı sağlar. Bu kılavuz, bu bulut HSM platformları için anahtar oluşturma, doğrulama ve sertifika siparişine genel bir bakış sağlar ve bulut HSM'lerinde yüklü sertifikalar için fiyatlandırma bilgilerini içerir.

Tasdik nedir?
SSL.com'un kod imzalama veya Adobe tarafından güvenilen belge imzalama sertifikalarını imzalayıp yayınlamadan önce, müşterinin özel imzalama anahtarının bir FIPS 140-2 Düzey 2 (veya üstü) tarafından oluşturulduğuna ve güvenli bir şekilde saklandığına dair kanıt almamız gerekir. dışa aktarılamayan cihaz. Bir özel anahtarın bu gereksinimleri karşıladığını kanıtlama eylemi olarak bilinir. tasdik. Özel anahtar onayı için kesin prosedürler, cihazlar ve bulut bilişim platformları arasında farklılık gösterir.

Amazon Web Hizmetleri (AWS) CloudHSM

Amazon Web Services (AWS) bulutHSM hizmeti şu anda SSL.com'un HSM'de oluşturulan anahtarların onaylanmasını otomatikleştirebileceği herhangi bir yol sağlamamaktadır. Bu nedenle, AWS CloudHSM'de kurulum için belge imzalama ve kod imzalama sertifikaları verebilmemiz için uzaktan tanıklı bir anahtar çifti oluşturma törenine ihtiyacımız var. Bu uzaktan tanıklık prosedürü, SSL.com personeli tarafından törende harcanan süre için ek bir ücrete tabi olacaktır.

Tören sırasında SSL.com personeli, video konferans yazılımı aracılığıyla bir CloudHSM örneğinde dışa aktarılamayan özel anahtarlara sahip bir veya daha fazla kriptografik anahtar çiftinin oluşturulmasını gözlemleyecek. Törenin ardından müşteri sertifika imzalama talebinde bulunabilir (CSR) SSL.com tarafından imzalanması ve verilmesi için. Lütfen Amazon'un AWS CloudHSM Belgeleri için CSR üretim talimatları.

SSL.com'un AWS CloudHSM'de anahtar oluşturma seremonileri için ücreti 1200.00 USD'dir.

Başa gitmek

Microsoft Azure Ayrılmış HSM

Microsoft'un Azure Ayrılmış HSM hizmeti SafeNet Luna Ağı HSM 7 Model A790 HSM'yi kullanır. Luna cmu komut satırı aracı, bir kriptografik anahtar çifti ve sertifika imzalama isteği oluşturmak için kullanılabilir (CSR) belge imzalama veya kod imzalama için SSL.com tarafından tasdik için gereken bilgilerle birlikte. Lütfen Thales'in Sertifika Yönetimi Yardımcı Programı (CMU) belgeleri ile çalışmaya ilişkin tüm talimatlar için cmu Yarar.

Anahtar çiftinizi oluştururken cmu anahtar çifti oluştur yardımcı program kullanıyorsanız, özel anahtarın çıkarılabilir olmadığından emin olun (varsayılan ayar çıkarılamaz). Senin oluşturmalısın CSR ile cmu istek sertifikası Komut.

Anahtar çiftinizi oluşturduktan sonra ve CSR, yeni anahtarlar için bir genel anahtar onay (PKC) dosyası isteyin. cmu getpkc komut. Bu dosya SSL.com tarafından anahtar çiftinin uyumlu donanımda oluşturulduğunu ve özel anahtarın dışa aktarılamadığını doğrulamak için kullanılabilir.

Anahtar çiftinizi oluşturduktan sonra, CSRve PKC dosyasını gönderebilirsiniz. CSR ve doğrulama ve imzalama için SSL.com'a PKC.

SSL.com'un Azure Ayrılmış HSM PKC onayı ücreti 500.00 ABD dolarıdır.

Not: Bir hatırlatma olarak SSL.com, sertifikaları imzalamak için temel Azure Key Vault'u kullanamaz. Gerekli olan bir HSM'nin ayrılmış, tek kiracılı bir örneğini sağlamaz. Azure HSM hizmetleri için iki seçeneğimiz şunlardır:

  1. SSL.com'un uzaktan doğrulama hizmetleri sağlayabileceği Azure Ayrılmış HSM. Kendi Denetçinizi Getirin (BYOA), sağlanan SSL.com tasdiki yerine Azure Ayrılmış HSM hizmetleri için de kullanılabilir. 
  2. Uzaktan tasdik sağlamayan ve şu anda doğrudan bir CA olarak uyumlu bir şekilde tasdik edemediğimiz Azure Key Vault Yönetilen HSM. Azure Key Vault Yönetilen HSM'nin kullanımını kabul etsek de, uyumlu anahtar oluşturma denetlenmeli ve sertifikalı bir güvenlik uzmanından gelen bir mektupla tasdik edilmelidir. BYOA süreci.

Kuruluşta sertifikalı bir güvenlik görevlisi yoksa, bunu yapmak için görevlendirilebilecek harici tasdik hizmet sağlayıcıları vardır. İşte bir örnek: https://spearit.net/services/remote-key-attestation

Başa gitmek

Google Bulut HSM

Google'ın Bulut HSM hizmeti, SSL.com'un belge imzalama veya kod imzalama sertifikaları vermeden önce doğrulayabildiği kriptografik anahtarlar için imzalı tasdik beyanları üretebilen Marvell (eski adıyla Cavium) tarafından üretilen cihazları kullanır. Lütfen Google'ın Cloud Key Management belgeleri anahtar çiftinizi ve doğrulama bildiriminizi oluştururken:

Anahtar çiftinizi oluşturduktan sonra, CSRve tasdik beyanı, doğrulama ve imzalama için SSL.com'a gönderebilirsiniz. GitHub kullanıcısı matları bir sağladı açık kaynaklı yardımcı program oluşturmak için CSR ve Google Cloud HSM'den özel bir anahtarla imzalamak.

SSL.com'un Google Cloud HSM onayı için ücreti 500.00 USD'dir.

Başa gitmek

Kendi Denetçinizi Getirin (BYOA)

Tasdikler, siber güvenlik sertifikalarını tanıyan diğer kalifiye kişiler tarafından da gerçekleştirilebilir. HSM'nin sahibi, SSL.com'un tasdik hizmetlerini kullanmak dışında anahtar oluşturma tasdiki için araçlar kullandığında buna “Kendi Denetçinizi Getirin” diyoruz. 

BYOA seçeneği herhangi bir işlemi gerçekleştirmek için kullanılabilir. Anahtar Üretim Töreni (KGC) ile uyumlu bir HSM'nin HSM'leri için bile SSL.com tasdik hizmeti sağlamaz. 

BYOA kapsamlı bir hazırlık gerektirir, aksi takdirde oluşturulan anahtar için önemli bir reddedilme riski vardır. Bu, kullanılan cihazın uyumlu olmaması, denetçinin kalifiye olmaması veya denetçi raporunun sürecin gerekliliklerini kapsamaması durumunda meydana gelebilir. Böyle bir durumda, törenin tekrarlanması gerekecek ve bu da müşteri için ek maliyetlere ve gecikmelere neden olacaktır. 

Bu tür senaryolardan kaçınmak için SSL.com'un müşteri desteği ve/veya doğrulama uzmanları, müşteriyle iletişim kurmadan önce iletişim kurar. KGC rehberlik sağlamak ve aşağıdakileri sağlamak:

  • Denetçi aşağıda açıklanan kriterlere göre onaylanır
  • Tören hazırlık gereklilikleri ve tören senaryosu nettir ve KGC ortamının uygun şekilde hazırlanması için eksiksiz bir şekilde takip edilir.
  • Herhangi bir kısıtlama ve/veya BYOA'ya özgü hüküm ve koşullar açıktır ve müşteri tarafından kabul edilir.

Dış denetçiler için gereksinimlere ilişkin ayrıntılar burada bulabilirsiniz.

Başa gitmek

Cloud HSM Fiyatlandırma Katmanları

Bulut HSM platformlarına yüklenen sertifikalar için SSL.com, yıllık maksimum imzalama sayısına göre aşağıdaki fiyatlandırma katmanlarını sunar.

aşama Ücret Yıllık İmza Sayısı
Ücretsiz Katman Temel Sertifika Fiyatı 1,000
Tier 1 Baz Fiyat + 180.00 $ 2,000
Tier 2 Baz Fiyat + 300.00 $ 5,000
Tier 3 Baz Fiyat + 500.00 $ 10,000
Tier 4 Satışla İletişim > 10,000
Başa gitmek

Bulut HSM Hizmet Talep Formu

Desteklenen bir bulut HSM platformuna (AWS CloudHSM veya Azure Dedicated HSM) kurulum için dijital sertifika siparişi vermek isterseniz, lütfen aşağıdaki formu doldurun ve gönderin. Talebinizi aldıktan sonra, SSL.com personelinin bir üyesi, sipariş verme ve tasdik süreci hakkında daha fazla ayrıntı vermek üzere sizinle iletişime geçecektir.

Başa gitmek

Diğer Bulut HSM Platformları

SSL.com şu anda çok çeşitli HSM hizmetleri ve donanımı üzerinde belge imzalama sertifikalarının verilmesi için prosedürler geliştirmekte ve test etmektedir. Henüz desteklemediğimiz bir platform için sertifika sipariş etmekle ve desteklediğimiz HSM'lerle ilgili güncellemeler almakla ilgilendiğinizi belirtmek isterseniz, lütfen HSM Talep Formu.

Başa gitmek

SSL.com hesabınız için daha fazla kaynağa mı ihtiyacınız var? Bu sayfalara göz atın: 

Twitter
Facebook
LinkedIn
Reddit
e-posta

SSL Destek Ekibi

Tüm Yazılar »

Haberdar Olun ve Güvende Kalın

SSL.com Siber güvenlik alanında küresel bir lider olan PKI ve dijital sertifikalar. En son sektör haberlerini, ipuçlarını ve ürün duyurularını almak için kaydolun SSL.com.

Geri bildiriminizi almak isteriz

Anketimize katılın ve son satın alma işleminizle ilgili düşüncelerinizi bize bildirin.

Anketi doldur