Các cơ quan cấp chứng chỉ như SSL.com gần đây đã nâng cao các tiêu chuẩn lưu trữ khóa cho Chứng chỉ ký mã, hiện bắt buộc phải lưu trữ khóa riêng của chứng chỉ trên mã thông báo USB vật lý hoặc trên Mô-đun bảo mật phần cứng (HSM) tuân thủ.
Kể từ ngày 1 tháng 2023 năm XNUMX, tất cả chứng chỉ ký mã SSL.com đã ngừng được cấp dưới dạng tệp pfx có thể tải xuống. Thay đổi này tuân thủ Diễn đàn của Cơ quan cấp chứng chỉ/Trình duyệt (CA/B) yêu cầu lưu trữ khóa mới để tăng tính bảo mật cho khóa ký mã. Quy tắc trước đó cho phép cấp chứng chỉ ký mã Xác thực Tổ chức (OV) và Xác thực Cá nhân (IV) dưới dạng tệp có thể tải xuống. Vì các yêu cầu mới chỉ cho phép sử dụng mã thông báo USB được mã hóa hoặc các thiết bị phần cứng tuân thủ FIPS dựa trên đám mây để lưu trữ chứng chỉ và khóa riêng nên dự kiến các trường hợp khóa ký mã bị kẻ độc hại đánh cắp và sử dụng sai mục đích sẽ giảm đáng kể.
Mặc dù việc sử dụng mã thông báo USB đặt ra những thách thức trong việc tích hợp với các quy trình CI/CD hiện đại và việc quản lý HSM vật lý tại văn phòng có thể phức tạp nhưng vẫn tồn tại một giải pháp thay thế hiệu quả. Google Cloud cung cấp một giải pháp thiết thực: thuê một khe khóa duy nhất trên dịch vụ HSM của họ. Cách tiếp cận này không chỉ tiết kiệm chi phí mà còn phù hợp với các tiêu chuẩn tuân thủ FIPS 140-2 Cấp 2 mới nhất, đồng thời loại bỏ nhu cầu quản lý thiết bị vật lý. Bài viết này sẽ hướng dẫn bạn quy trình thiết lập giải pháp trung gian này.
Chứng chỉ ký mã EV của SSL.com được tin cậy trên toàn thế giới để ký điện tử mã phần mềm với chữ ký số an toàn.
Tìm hiểu quy trình ký mã với HSM dựa trên đám mây
Để nắm bắt được bản chất của quy trình ký mã bằng cách sử dụng Mô-đun bảo mật phần cứng (HSM) dựa trên đám mây, việc kiểm tra các thành phần là rất hữu ích:- Chứng chỉ ký mã: Chứng chỉ kỹ thuật số do Cơ quan cấp chứng chỉ (CA) đáng tin cậy cấp mà các nhà phát triển phần mềm sử dụng để ký điện tử vào phần mềm, tập lệnh và tệp thực thi của họ. Chứng chỉ này đóng vai trò là chữ ký điện tử xác minh danh tính của nhà phát triển hoặc nhà xuất bản và đảm bảo rằng mã không bị thay đổi hoặc xâm phạm kể từ khi được ký ban đầu.
- Google Cloud: Cung cấp các dịch vụ hỗ trợ phát triển và triển khai phần mềm một cách an toàn, bao gồm cơ sở hạ tầng để tạo và quản lý khóa mật mã được sử dụng trong quy trình ký mã một cách an toàn.
- Google Cloud HSM để bảo vệ khóa: Mô-đun bảo mật phần cứng mạnh mẽ nằm trong cơ sở hạ tầng của Google Cloud, chuyên dùng để bảo vệ khóa riêng của bạn khỏi bị truy cập trái phép.
- Công cụ ký: Một ứng dụng hoặc tiện ích phần mềm được thiết kế để ký điện tử các chương trình và ứng dụng phần mềm. Chữ ký số này đảm bảo cho người dùng cuối rằng phần mềm không bị thay đổi hoặc xâm phạm kể từ khi được nhà phát triển hoặc nhà xuất bản ký.
- Cơ quan đóng dấu thời gian (TSA): dịch vụ bên thứ ba đáng tin cậy, thường được quản lý bởi Cơ quan cấp chứng chỉ (CA) của bạn, có nhiệm vụ chứng minh rằng mã đã được ký trong thời gian hiệu lực của chứng chỉ kỹ thuật số được sử dụng để ký, ngay cả khi chứng chỉ sau đó hết hạn hoặc bị thu hồi.
Đăng ký tài khoản Google Cloud
Bước đầu tiên trong việc định cấu hình thiết lập của bạn bao gồm việc thiết lập một tài khoản với Google Cloud Platform. Khi tài khoản của bạn được kích hoạt, bạn cần tạo một dự án mới và bật Thanh toán. Việc cung cấp thông tin thanh toán của bạn là cần thiết để có thể tiếp tục quá trình thiết lập.Tạo cặp khóa của bạn, CSR, và tuyên bố chứng thực
Trước khi cấp chứng chỉ ký mã hoặc chứng chỉ ký tài liệu đáng tin cậy của Adobe, SSL.com yêu cầu xác nhận rằng khóa ký riêng của khách hàng đã được tạo và được lưu trữ an toàn trong thiết bị được chứng nhận bởi FIPS 140-2 Cấp 2 (hoặc cao hơn). Thiết bị này đảm bảo không thể trích xuất khóa và việc xác minh biện pháp bảo vệ này được gọi là chứng thực. Cloud HSM của Google, sử dụng các thiết bị do Marvell (trước đây là Cavium) sản xuất, có khả năng tạo ra các tuyên bố chứng thực có chữ ký cho các khóa mật mã. SSL.com có thể xác thực các tuyên bố này trước khi cấp chứng chỉ ký tài liệu hoặc ký mã. Để được hướng dẫn về cách tạo cặp khóa và tuyên bố chứng thực, vui lòng tham khảo tài liệu Quản lý khóa đám mây của Google: Sau khi bạn có cặp chìa khóa của mình, CSRvà tuyên bố chứng thực đã sẵn sàng, hãy gửi chúng đến SSL.com để xác minh và cấp chứng chỉ. Các công cụ mã nguồn mở bởi người dùng GitHub thảm để tạo ra một CSR và việc ký tên bằng khóa riêng từ Google Cloud HSM có thể đặc biệt hữu ích. SSL.com tính phí 500.00 USD cho chứng thực Google Cloud HSM. Ngoài ra, chúng tôi còn cung cấp nhiều mức giá khác nhau cho các chứng chỉ được sử dụng trên nền tảng HSM đám mây, tùy thuộc vào hoạt động ký kết tối đa hàng năm. Để biết thông tin chi tiết về giá cả, hãy tham khảo Bậc định giá trên đám mây HSM hướng dẫn. Việc chứng thực có thể được thực hiện bằng cách sử dụng BỎ QUA (Mang theo người kiểm tra riêng của bạn) khi chủ sở hữu HSM chọn chứng thực tạo khóa mà không cần dịch vụ của SSL.com. Phương pháp này có thể áp dụng cho bất kỳ Lễ tạo khóa (KGC) nào của HSM tuân thủ, ngay cả những buổi lễ không được chứng thực của SSL.com. BYOA yêu cầu sự chuẩn bị tỉ mỉ để tránh nguy cơ bị từ chối chìa khóa. Những vấn đề như vậy đòi hỏi phải lặp lại buổi lễ, phát sinh thêm chi phí và sự chậm trễ. Để ngăn chặn những vấn đề này, các chuyên gia xác nhận và hỗ trợ khách hàng của SSL.com chủ động hướng dẫn khách hàng trước KGC.Đặt mua Chứng chỉ ký mã của bạn
Bạn có thể mua tất cả chứng chỉ ký mã SSL.com với thời hạn 1-3 năm với mức giảm giá cho thời hạn dài hơn cũng như sự tiện lợi khi chỉ phải trải qua quy trình xác thực một lần đối với chứng chỉ có thời hạn dài hơn. Bài viết được liên kết sau đây nêu chi tiết cách đặt mua chứng chỉ ký mã và điều hướng các tùy chọn này: Quy trình đặt hàng chứng chỉ ký mã và tài liệu. Đối với các giải pháp tùy chỉnh, giảm giá khối lượng lớn, tùy chọn HSM bên ngoài, báo giá chính thức hoặc bất kỳ hướng dẫn nào khác, vui lòng liên hệ sales@ssl.com.Trải qua quá trình kiểm tra để có được chứng chỉ của bạn
Ngoài việc tạo cặp khóa của bạn, CSRvà tuyên bố chứng thực, SSL.com yêu cầu các tài liệu và thông tin đăng ký cụ thể trước khi bạn có thể đạt được chứng chỉ ký mã. Bài viết được liên kết sau đây trình bày chi tiết về quá trình kiểm tra: Quy trình xác thực để ký tài liệu, ký mã và chứng chỉ ký mã EV.Chứng chỉ ký mã EV của SSL.com được tin cậy trên toàn thế giới để ký điện tử mã phần mềm với chữ ký số an toàn.
