SSL.com当前支持 AWS 云HSM, Azure专用HSM及 谷歌云HSM 发行Adobe信任的 文件签署证书, IV/OV 代码签名证书及 EV代码签名证书. 所有这些云HSM服务都提供了经过FIPS 140-2 3级认证的HSM硬件,用于生成和存储加密密钥。 本指南概述了这些云HSM平台的密钥生成,证明和证书订购,并包括云HSM上安装的证书的定价信息。
在 SSL.com 签署和颁发代码签名或 Adobe 信任的文档签名证书之前,我们必须首先获得证明,证明客户的私人签名密钥已由 FIPS 140-2 2 级(或更高级别)认证的机构生成并安全存储在其中设备,无法从中导出它。 证明私钥满足这些要求的行为称为 证明。 设备和云计算平台之间的私钥证明的确切过程有所不同。
亚马逊网络服务(AWS)CloudHSM
亚马逊网络服务(AWS) 云HSM 服务当前不提供任何方式使 SSL.com 可以自动证明 HSM 上生成的密钥。 因此,我们需要进行远程见证的密钥对生成仪式,然后才能颁发用于在 AWS CloudHSM 上安装的文档签名和代码签名证书。 SSL.com 工作人员在仪式上花费的时间将收取远程见证程序的额外费用。
在仪式上,SSL.com工作人员将通过视频会议软件观察CloudHSM实例上具有不可导出私钥的一个或多个加密密钥对的生成。 仪式结束后,客户可以提交证书签名请求(CSR),以通过SSL.com进行签名和签发。 请参考亚马逊的 AWS CloudHSM文档 CSR 生成说明。
SSL.com的AWS CloudHSM密钥生成仪式费用为$ 1200.00 USD。
Microsoft Azure专用HSM
微软的 Azure专用HSM 服务使用的是SafeNet Luna Network HSM 7 Model A790 HSM。 露娜 cmu 命令行工具可用于生成加密密钥对和证书签名请求(CSR) 用于文档签名或代码签名,以及 SSL.com 证明所需的信息。 请参考泰雷兹的 证书管理实用程序(CMU)文档 有关如何使用 cmu 效用。
当使用 cmu 生成密钥对 实用程序,请确保确保私钥不可提取(默认设置为不可提取)。 您应该生成您的 CSR 与 cmu request证书 命令。
生成密钥对后, CSR,请使用以下命令请求新密钥的公共密钥确认(PKC)文件: CMU 获取 pkc 命令。 SSL.com可以使用此文件来确认密钥对是在兼容硬件上生成的,并且私钥不可导出。
生成密钥对后, CSR以及PKC文件,您可以提交 CSR 和PKC到SSL.com进行验证和签名。
SSL.com的Azure专用HSM PKC确认费用为$ 500.00 USD。
- SSL.com 可以为其提供远程证明服务的 Azure 专用 HSM。 带上你自己的审计员 (BYOA) 也可用于 Azure 专用 HSM 服务,代替提供的 SSL.com 证明。
- Azure Key Vault Managed HSM 不提供远程证明,我们目前无法以合规方式直接证明为 CA。 虽然我们接受使用 Azure Key Vault Managed HSM,但合规密钥生成必须经过认证安全专家的一封信进行审核和证明,详见 BYOA流程.
如果组织中不存在经过认证的安全官,则可以聘请外部证明服务提供商来这样做。 这是一个例子: https://spearit.net/services/remote-key-attestation
谷歌云HSM
谷歌的 云HSM 该服务使用 Marvell(以前称为 Cavium)制造的设备,该设备可以生成加密密钥的签名证明声明,SSL.com 可以在颁发文档签名或代码签名证书之前对其进行验证。 请参考谷歌的 云密钥管理文档 生成密钥对和证明声明时:
生成密钥对后, CSR以及证明声明,您可以将它们提交到SSL.com进行验证和签名。 GitHub用户 遮罩 提供了一个 开源工具 用于创建一个 CSR 并使用Google Cloud HSM的私钥对其进行签名。
SSL.com 的 Google Cloud HSM 认证费用为 500.00 美元。
自带审计员 (BYOA)
证明也可以由其他具有公认的网络安全认证的合格人员执行。 当 HSM 的所有者使用 SSL.com 的证明服务以外的方式进行密钥生成证明时,我们称之为“自带审计员”。
BYOA 选项可用于执行任何 合规 HSM 的密钥生成仪式 (KGC),即使对于那些 SSL.com 不提供证明服务的 HSM。
自带设备 需要充分的准备,否则,生成的密钥有很大的被拒绝的风险。 如果使用的设备不合规、审核员不合格或审核员报告未涵盖流程要求,则可能会发生这种情况。 在这种情况下,仪式将不得不重复进行,从而导致客户的成本增加和延误。
为避免此类情况,SSL.com 的客户支持和/或验证专家会在 凯格 提供指导并确保:
- 审核员根据以下标准获得批准
- 仪式准备要求,以及仪式脚本,明确并彻底遵守,以便正确准备 KGC 环境
- 任何限制和/或 BYOA 特定的条款和条件都是明确的并被客户接受
外部审计师要求的详细信息 可以在这里找到.
Cloud HSM定价层
对于安装在云HSM平台上的证书,SSL.com根据每年的最大签名数提供以下定价层。
| 层 | 价格 | 每年签约 |
| 免费套餐 | 基本证书价格 | 1,000 |
| 一级1 | 基本价格+ $ 180.00 | 2,000 |
| 一级2 | 基本价格+ $ 300.00 | 5,000 |
| 一级3 | 基本价格+ $ 500.00 | 10,000 |
| 一级4 | 联系我们 | > 10,000 |
Cloud HSM服务申请表
如果您想订购数字证书以安装在受支持的云 HSM 平台(AWS CloudHSM 或 Azure Dedicated HSM)上,请填写并提交下面的表格。 我们收到您的请求后,SSL.com 的工作人员将与您联系,提供有关订购和认证流程的更多详细信息。
其他Cloud HSM平台
SSL.com 目前正在开发和测试在各种 HSM 服务和硬件上颁发文档签名证书的程序。 如果您有兴趣为我们尚不支持的平台订购证书并接收我们支持的 HSM 的更新,请填写我们的 HSM查询表.
您的 SSL.com 帐户需要更多资源吗? 查看这些页面:
