Ce guide fournit des instructions étape par étape pour compléter votre commande de signature de code en utilisant la méthode“Installer sur un HSM existant” pour le Luna Network Attached HSM v7.x.
Veuillez noter que ce guide suppose que vous possédez déjà votre appareil Luna HSM et que vous savez comment l’utiliser. La possession de ce matériel est une condition préalable à l’exécution de la commande de signature de code.
Si vous ne connaissez pas les modules de sécurité matériels, vous pouvez commander un jeton de certificat préconfiguré (méthode Token + Expédition).
Les instructions suivantes sont proposées par Sectigo CA. Pour toute assistance supplémentaire relative à du matériel tiers, veuillez vous adresser au fabricant de votre module de sécurité matériel (HSM), qui peut vous fournir une assistance spécialisée.
Luna HSM Attestation Package
Les HSM Luna génèrent le paquet de confirmation de la clé publique (PKC) pour chaque paire de clés stockée dans le HSM. Ce PKC garantit que la paire de clés a bien été générée et stockée en toute sécurité dans un HSM Luna conforme aux normes FIPS.
Format du dossier d’attestation
Les PKC générés sont des fichiers DER PKCS7 qui contiennent une chaîne de certificats. Le contenu de la PKC peut varier en fonction de l’algorithme asymétrique utilisé pour créer la paire de clés.
PKC pour la paire de clés RSA
Lors de la génération d’un PKC pour une paire de clés RSA, deux formats sont possibles :
- TC-Trust Center: Ce format inclut 3 certificats dans la chaîne, mais il ne se termine pas par la racine SafeNet attendue.
- Chrysalis-ITS: Dans ce format, le PKC se compose de 5 certificats, et la chaîne se termine par la racine SafeNet attendue.
Pour plus de détails, consultez la documentation de Thale sur le Luna HSM.
Comment générer la PKC dans Chrysalis-ITS ?
Pour créer un PKC au format Chrysalis-ITS pour une paire de clés RSA, veuillez suivre les étapes suivantes :
1. Accédez au Luna HSM à l’aide du client distant Luna et connectez-vous avec succès.
2. Générez une paire de clés RSA sur Luna Partition1 à l’aide de l’utilitaire LunaCM2. Exécutez la commande suivante :
Pour Windows :
c:\Ncd c:\NProgram Files\NSafeNet\NLunaClient
c:\NProgram Files\NSafeNet\NLunaClient> lunacm
Pour Linux :
cd /usr/safenet/lunaclient/bin
./lunacm
Commandement :
cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false
Note: Les paramètres “-extractable=false” et“-sign=T” sont obligatoires. La génération de CSR échouera sans eux car Luna n’utilisera pas cette clé pour la signature de la CSR.
3. Obtenez les numéros d’identification de vos clés publiques et privées en examinant les résultats des commandes suivantes :
cmu list -class public
cmu list -class private
4. Créez une demande de signature de certificat (CSR) à l’aide de cette commande (remplacez AAA et BBB par vos clés publique et privée respectivement) :
cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem
5. Générez le PKC en exécutant cette commande (remplacez AAA par votre identifiant de clé publique) :
cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify
6. Enregistrez le fichier résultant (.p7b), qui servira de dossier d’attestation.
7. Pour inspecter la chaîne de certificats, double-cliquez sur le fichier .p7b enregistré.
Une fois que vous avez généré avec succès ce fichier PKC, vous pouvez le télécharger en tant que fichier d’attestation lorsque vous remplissez votre formulaire de commande de signature de code.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
