自带审计员 (BYOA) 指南,用于私钥生成证明

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

SSL.com 允许申请代码签名或 Adob​​e 认可信任列表 (AATL) 文档签名证书的客户使用他们选择的独立合格审计师来证明客户的私钥已生成并安全地存储在兼容的硬件安全模块 (HSM) 中。 SSL.com 将这个过程称为“ BYOA” 是我们创造的一个术语。

通过 BYOA,客户可以为 SSL.com 提供:

  • 证书签名请求(CSR) 由 HSM 生成。
  • 经 SSL.com 批准的独立合格审计员确认,密钥对是在批准的操作环境下生成并存储在至少通过 FIPS 140-2 2 级或同等认证的硬件加密模块中。

本指南详细介绍了 BYOA 流程、审核员要求、密钥仪式指南,并提供了审核员证明的格式信函模板。

审核员要求及批准

要执行 BYOA 认证,独立审计员必须事先获得 SSL.com 的批准。SSL.com 根据以下标准评估审计员:

  • 技术能力:审计员必须具备数字认证和网络安全领域的专业知识。
  • 审计资格:审计员必须持有公认的审计认证或资格,例如成为 WebTrust/ETSI 审计员或拥有云安全联盟 CCAK。
  • 道德规范:审计师必须遵守职业道德规范,通常是通过加入专业组织来遵守。
  • 可验证的凭证:SSL.com 必须能够通过审计员注册表等公共来源验证审计员的凭证。

如果客户首选的审计员尚未获得批准,则审计员可以将其资格提交给 SSL.com,以便根据这些标准进行审查。SSL.com 会保留一份预先批准的审计员公开名单,供客户参考。

密钥生成仪式指南

对于 BYOA 流程,审计员必须见证密钥生成仪式并在其签署的证明函中确认以下内容:

  • 私钥是在至少通过 FIPS 140-2 2 级或同等认证的硬件加密模块中生成的。
  • HSM 至少在 FIPS 140-2 2 级模式下运行。
  • 我们使用正版、无漏洞的 HSM 硬件和固件。
  • 密钥生成期间与 HSM 的所有通信都经过验证和加密。
  • 私钥是在 HSM 内部生成的,从未导入或导出。
  • 私钥被标记为不可提取和敏感,符合 PKCS#11 标准。
  • 所有访问私钥都需要进行用户身份验证。
  • HSM 的操作环境具有相当于 FIPS 140-2 2 级或更高级别的安全控制。
  • 审计员出席了整个密钥生成仪式和过程,没有任何妥协的迹象。

SSL.com 提供仪式准备指导、详细的仪式脚本和审计员证明函模板,以确保满足所有要求。

订户义务

作为 BYOA 流程的一部分,SSL.com 必须从订户处获得一份合同声明,表明他们将使用以下方法之一在硬件加密模块中生成和保护其代码签名证书私钥,该模块的设计至少经过 FIPS 140-2 2 级认证:

  • SSL.com 为订阅者提供合适的 HSM,其中包含由 SSL.com 预先生成的一个或多个密钥对。
  • 订户提供一份报告,确认使用合规的基于云的密钥保护解决方案和 HSM。
  • 经 SSL.com 批准并接受过 IT 和安全培训的审计员将见证并提供有关合规 HSM 中密钥对生成的报告。
  • 订户正在使用符合基本要求第 6.2.7.2 节中详细列出的要求的签名服务。

审计师证明表模板

SSL.com 提供了审计员证明表模板,详细说明了必须解决的关键点。该模板可供下载 点击这里.

审计师证明表必须由执行仪式见证的审计师签字。没有签名或未经 SSL.com 批准的审计师提交的申请将被拒绝。

总结

BYOA 流程允许 SSL.com 客户利用他们选择的审计员进行密钥生成证明,与 CA 管理的证明相比提供更大的灵活性,同时仍然通过严格的审计员审查和仪式标准坚持代码签名和文档签名证书所需的安全标准。

有意通过 BYOA 获得代码签名或文档签名证书的客户应确保其选择的审核员符合 SSL.com 的资格标准,并在继续操作之前获得批准。SSL.com 的验证团队可随时解答任何问题,并在整个 BYOA 准备和执行过程中提供指导。

如需了解更多信息或启动 BYOA 流程,请联系 SSL.com 支持 support@ssl.com.

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。