Dieser Leitfaden enthält Schritt-für-Schritt-Anweisungen für die Fertigstellung Ihres Code Signing-Auftrags unter Verwendung der Methode“Install on Existing HSM” für das Luna Network Attached HSM v7.x.
Bitte beachten Sie, dass diese Anleitung davon ausgeht, dass Sie Ihr Luna HSM-Gerät bereits besitzen und wissen, wie man es benutzt. Der Besitz dieser Hardware ist eine Voraussetzung für die Durchführung des Code-Signierungsauftrags.
Wenn Sie mit Hardware-Sicherheitsmodulen nicht vertraut sind, können Sie stattdessen ein vorkonfiguriertes Zertifikatstoken (Token + Versandmethode) bestellen.
Die folgende Anleitung wird von Sectigo CA angeboten. Wenn Sie weitere Unterstützung in Bezug auf Hardware von Drittanbietern benötigen, wenden Sie sich bitte an den Hersteller Ihres Hardware-Sicherheitsmoduls (HSM), da dieser speziellen Support anbieten kann.
Luna HSM-Bescheinigungspaket
Luna HSMs generieren das Bestätigungspaket für öffentliche Schlüssel (PKC) für jedes im HSM gespeicherte Schlüsselpaar. Diese PKC stellt sicher, dass das Schlüsselpaar tatsächlich generiert und sicher in einem FIPS-aktivierten Luna HSM gespeichert wurde.
Format des Bescheinigungspakets
Die erzeugten PKCs sind DER PKCS7-Dateien, die eine Zertifikatskette enthalten. Der Inhalt der PKC kann je nach dem zur Erstellung des Schlüsselpaars verwendeten asymmetrischen Algorithmus variieren.
PKC für RSA-Schlüsselpaar
Bei der Erzeugung einer PKC für ein RSA-Schlüsselpaar gibt es zwei mögliche Formate:
- TC-Trust Center: Dieses Format enthält 3 Zertifikate in der Kette, aber es schließt nicht mit dem erwarteten SafeNet-Root ab.
- Chrysalis-ITS: Bei diesem Format besteht die PKC aus 5 Zertifikaten, und die Kette endet mit dem erwarteten SafeNet-Root.
Weitere Einzelheiten finden Sie in der Dokumentation von Thale über den Luna HSM.
Wie wird der PKC in Chrysalis-ITS erzeugt?
Um eine PKC im Chrysalis-ITS-Format für ein RSA-Schlüsselpaar zu erstellen, folgen Sie bitte diesen Schritten:
1. Greifen Sie über den Luna Remote Client auf das Luna HSM zu und melden Sie sich erfolgreich an.
2. Erzeugen Sie ein RSA-Schlüsselpaar auf Luna Partition1 mit dem Dienstprogramm LunaCM2. Führen Sie den folgenden Befehl aus:
Für Windows:
c:\ cd c:\Programmdateien\SafeNet\LunaClient
c:\Programmdateien\SafeNet\LunaClient> lunacm
Für Linux:
cd /usr/safenet/lunaclient/bin
/lunacm
Befehl:
cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false
Hinweis: Die Parameter “-extractable=false” und“-sign=T” sind obligatorisch. Die CSR-Erstellung wird ohne sie fehlschlagen, da Luna diesen Schlüssel nicht für die CSR-Signierung verwenden wird.
3. Ermitteln Sie die Handle-Nummern für Ihre öffentlichen und privaten Schlüssel, indem Sie die Ausgabe der folgenden Befehle überprüfen:
cmu list -class public
cmu list -class privat
4. Erstellen Sie mit diesem Befehl eine Zertifikatsignaturanforderung (CSR) (ersetzen Sie AAA und BBB durch die Handles Ihres öffentlichen bzw. privaten Schlüssels):
cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem
5. Erzeugen Sie die PKC, indem Sie diesen Befehl ausführen (ersetzen Sie AAA durch Ihr Handle des öffentlichen Schlüssels):
cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify
6. Speichern Sie die resultierende Datei (.p7b), die als Ihr Bescheinigungspaket dienen wird.
7. Um die Zertifikatskette zu prüfen, doppelklicken Sie auf die gespeicherte .p7b-Datei.
Sobald Sie diese PKC-Datei erfolgreich erstellt haben, können Sie sie als Bescheinigungsdatei hochladen, wenn Sie Ihr Code Signing-Bestellformular ausfüllen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
