SSL.com hiện hỗ trợ Đám mây AWSHSM, Azure chuyên dụng HSMvà Google đám mây HSM để phát hành Adobe đáng tin cậy chứng chỉ ký văn bản, Chứng chỉ ký mã IV/OVvà Chứng chỉ ký mã EV. Tất cả các dịch vụ HSM đám mây này đều cung cấp phần cứng HSM đã được xác thực FIPS 140-2 Cấp 3 để tạo và lưu trữ các khóa mã hóa. Hướng dẫn này cung cấp tổng quan về cách tạo khóa, chứng thực và đặt hàng chứng chỉ cho các nền tảng HSM đám mây này và bao gồm thông tin giá cả cho các chứng chỉ được cài đặt trên HSM đám mây.
Trước khi SSL.com có thể ký và phát hành ký mã hoặc chứng chỉ ký tài liệu đáng tin cậy của Adobe, trước tiên chúng tôi phải có bằng chứng rằng khóa ký riêng của khách hàng đã được tạo bởi và được lưu trữ an toàn trên FIPS 140-2 Cấp 2 (hoặc cao hơn) được chứng nhận thiết bị, từ đó nó không thể được xuất khẩu. Hành động chứng minh rằng khóa riêng đáp ứng các yêu cầu này được gọi là chứng thực. Các quy trình chính xác để chứng thực khóa cá nhân khác nhau giữa các thiết bị và nền tảng điện toán đám mây.
Dịch vụ web Amazon (AWS) CloudHSM
Amazon Web Services (AWS) đám mâyHSM dịch vụ hiện không cung cấp bất kỳ phương tiện nào để SSL.com có thể tự động chứng thực các khóa được tạo trên HSM. Vì lý do này, chúng tôi yêu cầu một buổi lễ tạo cặp khóa có người chứng kiến từ xa trước khi có thể cấp chứng chỉ ký tài liệu và ký mã để cài đặt trên AWS CloudHSM. Quy trình chứng kiến từ xa này sẽ phải trả thêm phí cho thời gian nhân viên SSL.com dành cho buổi lễ.
Trong buổi lễ, nhân viên của SSL.com sẽ quan sát việc tạo ra một hoặc nhiều cặp khóa mật mã với khóa riêng không thể xuất trên một phiên bản CloudHSM thông qua phần mềm hội nghị truyền hình. Sau buổi lễ, khách hàng có thể gửi yêu cầu ký chứng chỉ (CSR) để SSL.com ký và phát hành. Vui lòng tham khảo Amazon's Tài liệu AWS CloudHSM cho CSR hướng dẫn thế hệ.
Phí của SSL.com cho các buổi lễ tạo khóa trên AWS CloudHSM là $ 1200.00 USD.
Giải pháp quản lý khóa Microsoft Azure
- Azure Key Vault (Cấp cao cấp) và Azure Key Vault được quản lý HSM không cung cấp chứng thực từ xa và hiện tại chúng tôi không thể chứng thực trực tiếp với tư cách là CA theo cách tuân thủ. Mặc dù chúng tôi chấp nhận sử dụng Azure Key Vault Managed HSM, việc tạo khóa tuân thủ phải được kiểm tra và chứng thực trong một lá thư từ một chuyên gia bảo mật được chứng nhận, được nêu chi tiết trong quá trình BYOA.
- Azure chuyên dụng HSM mà SSL.com có thể cung cấp dịch vụ chứng thực từ xa. Mang theo kiểm toán viên của riêng bạn (BYOA) cũng có thể được sử dụng cho các dịch vụ Azure Key Vault và Azure Exclusive HSM thay cho chứng thực SSL.com được cung cấp.
Nếu tổ chức không có nhân viên bảo mật được chứng nhận, thì có thể thuê các nhà cung cấp dịch vụ chứng thực bên ngoài để làm việc đó. Đây là một ví dụ: https://spearit.net/services/remote-key-attestation
Của Microsoft Azure chuyên dụng HSM dịch vụ sử dụng SafeNet Luna Network HSM 7 Model A790 HSM. Luna cmu Công cụ dòng lệnh có thể được sử dụng để tạo cặp khóa mật mã và yêu cầu ký chứng chỉ (CSR) để ký tài liệu hoặc ký mã, cùng với thông tin theo yêu cầu của SSL.com để chứng thực. Vui lòng tham khảo Thales' Tài liệu về Tiện ích quản lý chứng chỉ (CMU) để được hướng dẫn đầy đủ về cách làm việc với cmu tiện ích.
Khi tạo cặp khóa của bạn với cmu createkeypair tiện ích, hãy chắc chắn để đảm bảo rằng khóa riêng tư không thể giải nén được (cài đặt mặc định là không thể giải nén). Bạn nên tạo CSR với chứng chỉ yêu cầu cmu chỉ huy.
Sau khi tạo cặp khóa của bạn và CSR, yêu cầu tệp xác nhận khóa công khai (PKC) cho các khóa mới với cmu getpkc chỉ huy. SSL.com có thể sử dụng tệp này để xác nhận rằng cặp khóa được tạo trên phần cứng tương thích và khóa riêng tư không thể xuất được.
Sau khi tạo cặp khóa của bạn, CSRvà tệp PKC, bạn có thể gửi CSR và PKC tới SSL.com để xác nhận và ký.
Phí của SSL.com cho xác nhận Azure HSM PKC chuyên dụng là $ 500.00 USD.
Google đám mây HSM
Google Đám mây HSM dịch vụ sử dụng các thiết bị do Marvell (trước đây là Cavium) sản xuất, có thể tạo các tuyên bố chứng thực đã ký cho các khóa mật mã mà SSL.com có thể xác minh trước khi cấp chứng chỉ ký tài liệu hoặc ký mã. Vui lòng tham khảo Google Tài liệu quản lý khóa đám mây khi tạo cặp khóa và câu lệnh chứng thực:
Sau khi tạo cặp khóa của bạn, CSRvà tuyên bố chứng thực, bạn có thể gửi chúng đến SSL.com để xác nhận và ký. Người dùng GitHub thảm đã cung cấp một tiện ích nguồn mở để tạo ra một CSR và ký nó bằng khóa riêng tư từ Google Cloud HSM.
Phí chứng thực Google Cloud HSM của SSL.com là $ 500.00 USD.
Mang theo chuyên gia đánh giá của riêng bạn (BYOA)
Chứng thực cũng có thể được thực hiện bởi các cá nhân đủ điều kiện khác đã có chứng chỉ an ninh mạng được công nhận. Chúng tôi gọi điều này là “Mang theo người kiểm tra của riêng bạn” khi chủ sở hữu của HSM sử dụng các phương tiện để chứng thực tạo khóa ngoài việc sử dụng các dịch vụ chứng thực của SSL.com.
Tùy chọn BYOA có thể được sử dụng để thực hiện bất kỳ Lễ tạo khóa (KGC) của một HSM tuân thủ ngay cả đối với những HSM đó SSL.com không cung cấp dịch vụ chứng thực.
BỎ QUA đòi hỏi sự chuẩn bị kỹ lưỡng, nếu không, có nguy cơ bị từ chối đáng kể đối với khóa được tạo. Điều này có thể xảy ra nếu thiết bị được sử dụng không tuân thủ, đánh giá viên không đủ tiêu chuẩn hoặc báo cáo của đánh giá viên không bao gồm các yêu cầu của quy trình. Trong trường hợp như vậy, buổi lễ sẽ phải được lặp lại, dẫn đến phát sinh thêm chi phí và sự chậm trễ cho khách hàng.
Để tránh những trường hợp như vậy, các chuyên gia xác thực và/hoặc hỗ trợ khách hàng của SSL.com liên lạc với khách hàng trước khi KGC hướng dẫn và đảm bảo các nội dung sau:
- Đánh giá viên được chấp thuận theo các tiêu chí mô tả dưới đây
- Các yêu cầu chuẩn bị cho buổi lễ cũng như kịch bản buổi lễ rõ ràng và được tuân thủ chặt chẽ để môi trường KGC được chuẩn bị chu đáo
- Mọi hạn chế và / hoặc các điều khoản và điều kiện cụ thể của BYOA đều rõ ràng và được khách hàng chấp nhận
Chi tiết về các yêu cầu đối với đánh giá viên bên ngoài có thể được tìm thấy ở đây.
Bậc định giá trên đám mây HSM
Đối với các chứng chỉ được cài đặt trên nền tảng HSM đám mây, SSL.com cung cấp các mức giá sau đây, dựa trên số lần đăng ký tối đa mỗi năm.
| Tầng | Giá cả | Số lần ký mỗi năm |
| Bậc miễn phí | Giá chứng chỉ cơ sở | 1,000 |
| Tier 1 | Giá cơ bản + $ 180.00 | 2,000 |
| Tier 2 | Giá cơ bản + $ 300.00 | 5,000 |
| Tier 3 | Giá cơ bản + $ 500.00 | 10,000 |
| Tier 4 | Liên doanh | > 10,000 |
Biểu mẫu yêu cầu dịch vụ Cloud HSM
Nếu bạn muốn đặt hàng chứng chỉ kỹ thuật số để cài đặt trên nền tảng đám mây HSM được hỗ trợ (AWS CloudHSM hoặc Azure Dành riêng cho HSM), vui lòng điền và gửi biểu mẫu bên dưới. Sau khi chúng tôi nhận được yêu cầu của bạn, một nhân viên của SSL.com sẽ liên hệ với bạn để cung cấp thêm thông tin chi tiết về quy trình đặt hàng và chứng thực.
Nền tảng HSM đám mây khác
SSL.com hiện đang phát triển và thử nghiệm các quy trình cấp chứng chỉ ký tài liệu trên nhiều dịch vụ và phần cứng HSM. Nếu bạn muốn bày tỏ sự quan tâm đến việc đặt mua chứng chỉ cho một nền tảng mà chúng tôi chưa hỗ trợ và nhận thông tin cập nhật về các HSM mà chúng tôi hỗ trợ, vui lòng điền vào biểu mẫu của chúng tôi Biểu mẫu yêu cầu HSM.
Cần thêm tài nguyên cho tài khoản SSL.com của bạn? Kiểm tra các trang này:
