Esta guía proporciona instrucciones paso a paso para completar su pedido de firma de código utilizando el método“Instalar en HSM existente” para Luna Network Attached HSM v7.x.
Tenga en cuenta que esta guía asume que usted ya posee su dispositivo Luna HSM y sabe cómo utilizarlo. La propiedad de este hardware es un requisito previo antes de proceder al pedido de firma de código.
Si no está familiarizado con los módulos de seguridad de hardware, puede pedir en su lugar un token de certificado preconfigurado (Token + método de envío).
Las siguientes instrucciones son ofrecidas por Sectigo CA. Para obtener más ayuda relacionada con hardware de terceros, consulte al fabricante del módulo de seguridad de hardware (HSM) específico, ya que puede proporcionarle asistencia especializada.
Paquete de certificación Luna HSM
Los HSM Luna generan el paquete de confirmación de clave pública (PKC) para cada par de claves almacenado en el HSM. Este PKC garantiza que el par de claves se ha generado y almacenado de forma segura en un HSM Luna compatible con FIPS.
Formato del paquete de certificación
Los PKC generados son archivos DER PKCS7 que contienen una cadena de certificado. El contenido del PKC puede variar en función del algoritmo asimétrico utilizado para crear el par de claves.
PKC para pares de claves RSA
Al generar un PKC para un par de claves RSA, existen dos formatos posibles:
- TC-Centro de confianza: Este formato incluye 3 certificados en la cadena, pero no concluye con la raíz SafeNet esperada.
- Chrysalis-ITS: En este formato, el PKC consta de 5 certificados, y la cadena culmina con la esperada raíz SafeNet.
Para más detalles, consulte la documentación de Thale sobre el Luna HSM.
¿Cómo generar el PKC en Chrysalis-ITS?
Para crear un PKC en el formato Chrysalis-ITS para un par de claves RSA, siga estos pasos:
1. Acceda al Luna HSM mediante el cliente remoto Luna e inicie sesión correctamente.
2. Genere un par de claves RSA en Luna Partition1 utilizando la utilidad LunaCM2. Ejecute el siguiente comando:
Para Windows:
c:\ cd c:\Archivos de Programa\SafeNet\LunaClient
c:\Archivos de Programa\SafeNet\LunaClient> lunacm
Para Linux:
cd /usr/safenet/lunaclient/bin
./lunacm
Comando:
cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=clave-ejemplo -extractable=false
Nota: Los parámetros “-extractable=false” y“-sign=T” son obligatorios. La generación de CSR fallará sin ellos ya que Luna no utilizará esta clave para la firma de CSR.
3. Obtenga los números de control de sus claves pública y privada revisando la salida de los siguientes comandos:
cmu list -clase public
cmu list -clase privada
4. Cree una solicitud de firma de certificado (CSR) utilizando este comando (sustituya AAA y BBB por sus claves pública y privada respectivamente):
cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem
5. Genere el PKC ejecutando este comando (sustituya AAA por el identificador de su clave pública):
cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify
6. Guarde el archivo resultante (.p7b), que le servirá como paquete de certificación.
7. Para inspeccionar la cadena de certificados, haga doble clic en el archivo .p7b guardado.
Una vez que haya generado correctamente este archivo PKC, puede proceder a cargarlo como archivo de atestación al cumplimentar su formulario de pedido de firma de código.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10