自 1 年 2023 月 XNUMX 日起,SSL.com 已更新其代码签名证书的密钥存储协议,以符合证书颁发机构/浏览器 (CA/B) 论坛发布的新指南。现在,私钥必须存储在加密的 USB 令牌、符合 FIPS 标准的现场硬件安全模块 (HSM) 或通过基于云的 HSM 服务进行保护。在受支持的云 HSM 选项中,Microsoft Azure Key Vault(高级层)是存储私钥和生成证书签名请求 (CSR)。
在向 SSL.com 申请签名证书时,该过程包括生成证书签名请求 (CSR) 作为 SSL.com 的正式请求,以验证您的身份并将其绑定到签名证书。以下部分演示了如何生成 CSR 在 Azure Key Vault(高级层)中。
先决条件
- Azure Key Vault(高级层)。此过程应使用的 Azure Key Vault 服务层是 高级 因为它经过了 FIPS 140-2 3 级验证。
- 有关如何创建 Azure Key Vault 的说明,请参阅下一部分: 创建 Azure Key Vault.
- 如果您已有 Azure Key Vault,请继续执行其他部分: 在 Azure Key Vault 中生成证书签名请求。
- 来自 SSL.com 的签名证书订单。
有关 SSL.com 支持代码签名的云 HSM 的完整列表,请参阅此文章: 支持用于文档签名和代码签名的云 HSM.
创建 Azure Key Vault
- 登录到 Azure门户.
- 点击 创建资源.
- 滚动到 钥匙库 并单击 创建 链接。
- 在下面 基础 部分,执行以下操作。
- 选择订阅和资源组如果需要,您可以单击 创建新.
- 指定名称和区域. 为您的 Key Vault 提供一个名称并选择一个区域。
- 选择高级定价层。为了符合 FIPS 140-2 标准,请选择“Premium”定价层。
- 配置恢复选项. 设置 Key Vault 的恢复选项,包括清除保护和已删除保管库的保留期。
- 点击 下一页 按钮继续 访问配置设置 部分。
- 点击 访问配置. 设置Key Vault的访问策略。
- 点击 网络. 为Key Vault选择一种连接方法。
- 点击 标签. 如果需要,为您的Key Vault创建标签。
- 继续 查看 + 创建. 产品评论 您的设置,然后单击“创建”按钮来创建您的新 Key Vault。
- 然后,Azure 将创建您的新 Key Vault。准备就绪后,您可以通过单击 前往资源 按钮。
在 Azure Key Vault 中生成证书签名请求
- 选择您的密钥保管库并单击 证书.
- 点击 生成/导入 按钮打开 创建证书 窗口。
- 完成以下字段:
- 证书创建方法: 选择“生成”。
- 证书名称: 为您的证书输入一个唯一的名称。
- 证书颁发机构 (CA) 的类型: 选择“由非集成 CA 颁发的证书”。
- 主题: 为您的证书提供 X.509 专有名称。
- 有效期: 您可以保留此设置,即默认的 12 个月。对于有效期较长的代码签名证书,颁发的证书将与您的订单相匹配,而不是 CSR.
- 内容类型: 选择“PEM”。
- 终生行动类型: 配置 Azure 根据证书有效期的一定百分比或到期前的特定天数发送电子邮件警报。
- 高级策略配置. 单击高级策略配置以设置密钥大小、类型以及密钥重用和可导出性的策略。
- 对于 SSL.com 颁发的证书,您可以保留 扩展密钥用法(EKU), X.509密钥用法标志及 启用证书透明度 保持其默认值。
- 续订时重复使用密钥吗? 选择否。
- 可导出的私钥? 选择否。
- 键类型。 选择 RSA+HSM
- 按键大小。对于代码签名证书,您只能在 3072 或 4096 之间进行选择。
- 完成高级策略配置设置后,点击 OK 按钮,然后 创建.
- 点击 证书 部分,在列表中找到您的证书 正在进行、失败或取消 证书,然后单击它。
- 点击 证书操作.
- 点击 下载资料 CSR 并将文件保存在安全的位置。