Luna Network Attached HSM v7.x: CSR & Attestierungsleitfaden

Dieser Leitfaden enthält Schritt-für-Schritt-Anweisungen für die Fertigstellung Ihres Code Signing-Auftrags unter Verwendung der Methode“Install on Existing HSM” für das Luna Network Attached HSM v7.x.

Bitte beachten Sie, dass diese Anleitung davon ausgeht, dass Sie Ihr Luna HSM-Gerät bereits besitzen und wissen, wie man es benutzt. Der Besitz dieser Hardware ist eine Voraussetzung für die Durchführung des Code-Signierungsauftrags.

Wenn Sie mit Hardware-Sicherheitsmodulen nicht vertraut sind, können Sie stattdessen ein vorkonfiguriertes Zertifikatstoken (Token + Versandmethode) bestellen.

Die folgende Anleitung wird von Sectigo CA angeboten. Wenn Sie weitere Unterstützung in Bezug auf Hardware von Drittanbietern benötigen, wenden Sie sich bitte an den Hersteller Ihres Hardware-Sicherheitsmoduls (HSM), da dieser speziellen Support anbieten kann.

Luna HSM-Bescheinigungspaket

Luna HSMs generieren das Bestätigungspaket für öffentliche Schlüssel (PKC) für jedes im HSM gespeicherte Schlüsselpaar. Diese PKC stellt sicher, dass das Schlüsselpaar tatsächlich generiert und sicher in einem FIPS-aktivierten Luna HSM gespeichert wurde.

Format des Bescheinigungspakets

Die erzeugten PKCs sind DER PKCS7-Dateien, die eine Zertifikatskette enthalten. Der Inhalt der PKC kann je nach dem zur Erstellung des Schlüsselpaars verwendeten asymmetrischen Algorithmus variieren.

PKC für RSA-Schlüsselpaar

Bei der Erzeugung einer PKC für ein RSA-Schlüsselpaar gibt es zwei mögliche Formate:

  1. TC-Trust Center: Dieses Format enthält 3 Zertifikate in der Kette, aber es schließt nicht mit dem erwarteten SafeNet-Root ab.
  2. Chrysalis-ITS: Bei diesem Format besteht die PKC aus 5 Zertifikaten, und die Kette endet mit dem erwarteten SafeNet-Root.

Weitere Einzelheiten finden Sie in der Dokumentation von Thale über den Luna HSM.

Wie wird der PKC in Chrysalis-ITS erzeugt?

Um eine PKC im Chrysalis-ITS-Format für ein RSA-Schlüsselpaar zu erstellen, folgen Sie bitte diesen Schritten:

1. Greifen Sie über den Luna Remote Client auf das Luna HSM zu und melden Sie sich erfolgreich an.

2. Erzeugen Sie ein RSA-Schlüsselpaar auf Luna Partition1 mit dem Dienstprogramm LunaCM2. Führen Sie den folgenden Befehl aus:

Für Windows:

c:\ cd c:\Programmdateien\SafeNet\LunaClient
c:\Programmdateien\SafeNet\LunaClient> lunacm

Für Linux:

cd /usr/safenet/lunaclient/bin
/lunacm

Befehl:

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false

Hinweis: Die Parameter “-extractable=false” und“-sign=T” sind obligatorisch. Die CSR-Erstellung wird ohne sie fehlschlagen, da Luna diesen Schlüssel nicht für die CSR-Signierung verwenden wird.

3. Ermitteln Sie die Handle-Nummern für Ihre öffentlichen und privaten Schlüssel, indem Sie die Ausgabe der folgenden Befehle überprüfen:

cmu list -class public
cmu list -class privat

4. Erstellen Sie mit diesem Befehl eine Zertifikatsignaturanforderung (CSR) (ersetzen Sie AAA und BBB durch die Handles Ihres öffentlichen bzw. privaten Schlüssels):

cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem

5. Erzeugen Sie die PKC, indem Sie diesen Befehl ausführen (ersetzen Sie AAA durch Ihr Handle des öffentlichen Schlüssels):

cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify

6. Speichern Sie die resultierende Datei (.p7b), die als Ihr Bescheinigungspaket dienen wird.

7. Um die Zertifikatskette zu prüfen, doppelklicken Sie auf die gespeicherte .p7b-Datei.

Sobald Sie diese PKC-Datei erfolgreich erstellt haben, können Sie sie als Bescheinigungsdatei hochladen, wenn Sie Ihr Code Signing-Bestellformular ausfüllen.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.