支持用于文档签名和代码签名的云 HSM

SSL.com当前支持 AWS 云HSM, Azure专用HSM谷歌云HSM 发行Adobe信任的 文件签署证书, IV/OV 代码签名证书EV代码签名证书. 所有这些云HSM服务都提供了经过FIPS 140-2 3级认证的HSM硬件,用于生成和存储加密密钥。 本指南概述了这些云HSM平台的密钥生成,证明和证书订购,并包括云HSM上安装的证书的定价信息。

什么是证明?
在 SSL.com 签署和颁发代码签名或 Adob​​e 信任的文档签名证书之前,我们必须首先获得证明,证明客户的私人签名密钥已由 FIPS 140-2 2 级(或更高级别)认证的机构生成并安全存储在其中设备,无法从中导出它。 证明私钥满足这些要求的行为称为 证明。 设备和云计算平台之间的私钥证明的确切过程有所不同。

亚马逊网络服务(AWS)CloudHSM

亚马逊网络服务(AWS) 云HSM 服务当前不提供任何方式使 SSL.com 可以自动证明 HSM 上生成的密钥。 因此,我们需要进行远程见证的密钥对生成仪式,然后才能颁发用于在 AWS CloudHSM 上安装的文档签名和代码签名证书。 SSL.com 工作人员在仪式上花费的时间将收取远程见证程序的额外费用。

在仪式上,SSL.com工作人员将通过视频会议软件观察CloudHSM实例上具有不可导出私钥的一个或多个加密密钥对的生成。 仪式结束后,客户可以提交证书签名请求(CSR),以通过SSL.com进行签名和签发。 请参考亚马逊的 AWS CloudHSM文档 对于 CSR 生成说明。

SSL.com的AWS CloudHSM密钥生成仪式费用为$ 1200.00 USD。

Microsoft Azure专用HSM

微软的 Azure专用HSM 服务使用的是SafeNet Luna Network HSM 7 Model A790 HSM。 露娜 cmu 命令行工具可用于生成加密密钥对和证书签名请求(CSR) 用于文档签名或代码签名,以及 SSL.com 证明所需的信息。 请参考泰雷兹的 证书管理实用程序(CMU)文档 有关如何使用 cmu 效用。

当使用 cmu 生成密钥对 实用程序,请确保确保私钥不可提取(默认设置为不可提取)。 您应该生成您的 CSR 与 cmu request证书 命令。

生成密钥对后, CSR,请使用以下命令请求新密钥的公共密钥确认(PKC)文件: CMU 获取 pkc 命令。 SSL.com可以使用此文件来确认密钥对是在兼容硬件上生成的,并且私钥不可导出。

生成密钥对后, CSR以及PKC文件,您可以提交 CSR 和PKC到SSL.com进行验证和签名。

SSL.com的Azure专用HSM PKC确认费用为$ 500.00 USD。

注意:请注意,SSL.com 无法使用基本的 Azure Key Vault 来签署证书。 它不提供所需的专用、单租户 HSM 实例。 我们的 Azure HSM 服务有两个选项:

  1. SSL.com 可以为其提供远程证明服务的 Azure 专用 HSM。 带上你自己的审计员 (BYOA) 也可用于 Azure 专用 HSM 服务,代替提供的 SSL.com 证明。 
  2. Azure Key Vault Managed HSM 不提供远程证明,我们目前无法以合规方式直接证明为 CA。 虽然我们接受使用 Azure Key Vault Managed HSM,但合规密钥生成必须经过认证安全专家的一封信进行审核和证明,详见 BYOA流程.

如果组织中不存在经过认证的安全官,则可以聘请外部证明服务提供商来这样做。 这是一个例子: https://spearit.net/services/remote-key-attestation

谷歌云HSM

谷歌的 云HSM 该服务使用 Marvell(以前称为 Cavium)制造的设备,该设备可以生成加密密钥的签名证明声明,SSL.com 可以在颁发文档签名或代码签名证书之前对其进行验证。 请参考谷歌的 云密钥管理文档 生成密钥对和证明声明时:

生成密钥对后, CSR以及证明声明,您可以将它们提交到SSL.com进行验证和签名。 GitHub用户 遮罩 提供了一个 开源工具 用于创建一个 CSR 并使用Google Cloud HSM的私钥对其进行签名。

SSL.com 的 Google Cloud HSM 认证费用为 500.00 美元。

自带审计员 (BYOA)

证明也可以由其他具有公认的网络安全认证的合格人员执行。 当 HSM 的所有者使用 SSL.com 的证明服务以外的方式进行密钥生成证明时,我们称之为“自带审计员”。 

BYOA 选项可用于执行任何 合规 HSM 的密钥生成仪式 (KGC),即使对于那些 SSL.com 不提供证明服务的 HSM。 

自带设备 需要充分的准备,否则,生成的密钥有很大的被拒绝的风险。 如果使用的设备不合规、审核员不合格或审核员报告未涵盖流程要求,则可能会发生这种情况。 在这种情况下,仪式将不得不重复进行,从而导致客户的成本增加和延误。 

为避免此类情况,SSL.com 的客户支持和/或验证专家会在 凯格 提供指导并确保:

  • 审核员根据以下标准获得批准
  • 仪式准备要求,以及仪式脚本,明确并彻底遵守,以便正确准备 KGC 环境
  • 任何限制和/或 BYOA 特定的条款和条件都是明确的并被客户接受

外部审计师要求的详细信息 可以在这里找到.

Cloud HSM定价层

对于安装在云HSM平台上的证书,SSL.com根据每年的最大签名数提供以下定价层。

价格 每年签约
免费套餐 基本证书价格 1,000
一级1 基本价格+ $ 180.00 2,000
一级2 基本价格+ $ 300.00 5,000
一级3 基本价格+ $ 500.00 10,000
一级4 联系我们 > 10,000

Cloud HSM服务申请表

如果您想订购数字证书以安装在受支持的云 HSM 平台(AWS CloudHSM 或 Azure Dedicated HSM)上,请填写并提交下面的表格。 我们收到您的请求后,SSL.com 的工作人员将与您联系,提供有关订购和认证流程的更多详细信息。

其他Cloud HSM平台

SSL.com 目前正在开发和测试在各种 HSM 服务和硬件上颁发文档签名证书的程序。 如果您有兴趣为我们尚不支持的平台订购证书并接收我们支持的 HSM 的更新,请填写我们的 HSM查询表.

您的 SSL.com 帐户需要更多资源吗? 查看这些页面: 

Twitter
Facebook
LinkedIn
Reddit
邮箱地址

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。