en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

支持的Cloud HSM用于文档签名和EV代码签名

SSL.com当前支持 AWS 云HSM, Azure专用HSM谷歌云HSM 发行Adobe信任的 文件签署证书EV代码签名证书. 所有这些云HSM服务都提供了经过FIPS 140-2 3级认证的HSM硬件,用于生成和存储加密密钥。 本指南概述了这些云HSM平台的密钥生成,证明和证书订购,并包括云HSM上安装的证书的定价信息。

什么是证明?
在SSL.com可以签署和签发EV代码签名或Adobe信任的文档签名证书之前,我们必须首先获得证明,证明客户的私人签名密钥已由FIPS 140-2 2级(或更高版本)生成并安全存储在FIPS XNUMX-XNUMX XNUMX级(或更高版本)上经认证的设备,无法从中导出该设备。 证明私钥满足这些要求的行为称为 证明。 设备和云计算平台之间的私钥证明的确切过程有所不同。

亚马逊网络服务(AWS)CloudHSM

亚马逊网络服务(AWS) 云HSM 该服务当前不提供SSL.com可以通过其自动执行在HSM上生成的密钥证明的任何方式。 因此,我们需要举行一次见证人的密钥对生成仪式,然后才能颁发文档签名和EV代码签名证书以在AWS CloudHSM上进行安装。 此远程见证程序将对SSL.com工作人员在典礼上花费的时间额外收费。

在仪式上,SSL.com工作人员将通过视频会议软件观察CloudHSM实例上具有不可导出私钥的一个或多个加密密钥对的生成。 仪式结束后,客户可以提交证书签名请求(CSR),以通过SSL.com进行签名和签发。 请参考亚马逊的 AWS CloudHSM文档 提供 CSR 生成说明。

SSL.com的AWS CloudHSM密钥生成仪式费用为$ 1200.00 USD。

Microsoft Azure专用HSM

微软的 Azure专用HSM 服务使用的是SafeNet Luna Network HSM 7 Model A790 HSM。 露娜 cmu 命令行工具可用于生成加密密钥对和证书签名请求(CSR)进行文档签名或EV代码签名,以及SSL.com要求提供的证明信息。 请参考泰雷兹的 证书管理实用程序(CMU)文档 有关如何使用 cmu 效用。

当使用 cmu 生成密钥对 实用程序,请确保确保私钥不可提取(默认设置为不可提取)。 您应该生成您的 CSR 与 cmu request证书 命令。

生成密钥对后, CSR,请使用以下命令请求新密钥的公共密钥确认(PKC)文件: cmu getpkc 命令。 SSL.com可以使用此文件来确认密钥对是在兼容硬件上生成的,并且私钥不可导出。

生成密钥对后, CSR以及PKC文件,您可以提交 CSR 和PKC到SSL.com进行验证和签名。

SSL.com的Azure专用HSM PKC确认费用为$ 500.00 USD。

谷歌云HSM

谷歌的 云HSM 该服务使用Marvell(以前称为Cavium)制造的设备,该设备可以生成加密密钥的签名证明声明,SSL.com可以在签发文档签名或EV代码签名证书之前对其进行验证。 请参阅Google的 云密钥管理文档 生成密钥对和证明声明时:

生成密钥对后, CSR以及证明声明,您可以将它们提交到SSL.com进行验证和签名。 GitHub用户 遮罩 提供了一个 开源工具 用于创建一个 CSR 并使用Google Cloud HSM的私钥对其进行签名。

SSL.com 的 Google Cloud HSM 认证费用为 500.00 美元。

自带审计员 (BYOA)

BYOA 对客户端来说是一个有效的替代方案,但它需要彻底的准备,否则,生成的密钥存在很大的拒绝风险。 如果使用的设备不合规,或审核员不合格,或审核员的报告未涵盖流程要求,则可能会发生这种情况。 在这种情况下,仪式及其见证必须重复进行,从而导致客户的成本增加和延误。 

为避免此类情况,SSL.com 的客户支持和/或验证专家会在 KGC 之前与客户沟通,以提供指导并确保以下事项:

  • 审核员根据以下标准获得批准
  • 仪式准备要求和仪式脚本清晰,遵循彻底,KGC环境准备充分
  • 任何限制和/或 BYOA 特定的条款和条件都是明确的并被客户接受

Cloud HSM定价层

对于安装在云HSM平台上的证书,SSL.com根据每年的最大签名数提供以下定价层。

价格每年签约
免费套餐基本证书价格1,000
一级1基本价格+ $ 180.002,000
一级2基本价格+ $ 300.005,000
一级3基本价格+ $ 500.0010,000
一级4联系我们> 10,000

Cloud HSM服务申请表

如果要订购数字证书以在受支持的云HSM平台(AWS CloudHSM或Azure专用HSM)上安装,请填写并提交以下表格。 收到您的请求后,SSL.com的工作人员将与您联系,以提供有关订购和证明流程的更多详细信息。

其他Cloud HSM平台

SSL.com当前正在开发和测试程序,以在各种HSM服务和硬件上发行文档签名证书。 如果您想对我们尚不支持的平台订购证书感兴趣并收到我们所支持的HSM的更新,请填写我们的 HSM查询表.

您的 SSL.com 帐户需要更多资源吗? 查看这些页面: 

分享到Twitter
Twitter
在Facebook上分享
Facebook
分享到LinkedIn
LinkedIn
分享Reddit上
Reddit
分享电子邮件
电子邮箱