लूना नेटवर्क संलग्न HSM v7.x: CSR और सत्यापन गाइड

यह मार्गदर्शिका Luna Network Attached HSM v7.x के लिए “मौजूदा HSM पर स्थापित करें” विधि का उपयोग करके आपके कोड साइनिंग ऑर्डर को पूरा करने के लिए चरण-दर-चरण निर्देश प्रदान करती है।

कृपया ध्यान दें कि यह मार्गदर्शिका मानती है कि आपके पास पहले से ही आपका Luna HSM डिवाइस है और इसका उपयोग करना जानते हैं। कोड हस्ताक्षर आदेश के साथ आगे बढ़ने से पहले इस हार्डवेयर का स्वामित्व एक शर्त है।

यदि आप हार्डवेयर सुरक्षा मॉड्यूल से परिचित नहीं हैं, तो आप इसके बजाय एक पूर्व-कॉन्फ़िगर प्रमाणपत्र टोकन (टोकन + शिपिंग विधि) का आदेश दे सकते हैं।

निम्नलिखित निर्देश Sectigo सीए द्वारा की पेशकश कर रहे हैं. तृतीय-पक्ष हार्डवेयर से संबंधित किसी भी अन्य सहायता के लिए, अपने विशिष्ट हार्डवेयर सुरक्षा मॉड्यूल (HSM) निर्माता से संपर्क करें क्योंकि वे समर्पित समर्थन प्रदान कर सकते हैं।

Luna HSM सत्यापन पैकेज

Luna HSMs HSM के भीतर संग्रहीत प्रत्येक कुंजी जोड़ी के लिए सार्वजनिक कुंजी पुष्टिकरण पैकेज (PKC) उत्पन्न करता है। यह PKC सुनिश्चित करता है कि कुंजी युग्म वास्तव में उत्पन्न हुआ था और सुरक्षित रूप से FIPS-सक्षम Luna HSM में संग्रहीत किया गया था।

सत्यापन पैकेज प्रारूप

उत्पन्न PKCs DER PKCS7 फाइलें हैं जिनमें एक प्रमाणपत्र श्रृंखला होती है। PKC की सामग्री कुंजी जोड़ी बनाने के लिए उपयोग किए जाने वाले असममित एल्गोरिथ्म के आधार पर भिन्न हो सकती है।

RSA कीपेयर के लिए PKC

RSA कुंजी जोड़ी के लिए PKC जनरेट करते समय, दो संभावित प्रारूप उपलब्ध होते हैं:

1. TC-विश्वास केंद्र: इस स्वरूप में श्रृंखला में 3 प्रमाणपत्र शामिल हैं, लेकिन यह अपेक्षित SafeNet रूट के साथ समाप्त नहीं होता है।
2. क्रिसलिस-आईटीएस: इस प्रारूप में, पीकेसी में 5 प्रमाणपत्र होते हैं, और श्रृंखला अपेक्षित सेफनेट रूट के साथ समाप्त होती है।

अधिक जानकारी के लिए, लूना एचएसएम पर थेल के दस्तावेज देखें।

क्रिसलिस-आईटीएस में पीकेसी कैसे उत्पन्न करें?

RSA कुंजी जोड़ी के लिए Chrysalis-ITS प्रारूप में PKC बनाने के लिए, कृपया इन चरणों का पालन करें:

1. Luna रिमोट क्लाइंट का उपयोग करके Luna HSM तक पहुंचें और सफलतापूर्वक लॉग इन करें।

2. LunaCM1 उपयोगिता का उपयोग करके Luna Partition2 पर एक RSA कुंजी जोड़ी उत्पन्न करें। निम्न आदेश निष्पादित करें:

विंडोज के लिए:

c:\ cd c:\Program Files\SafeNet\LunaClient
c:\Program Files\SafeNet\LunaClient> lunacm

लिनक्स के लिए:

सीडी /यूएसआर/सेफनेट/लूनाक्लाइंट/बिन
./lunacm

आज्ञा:

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false

नोट: पैरामीटर “-extractable = false” और “-sign = T” अनिवार्य हैं। सीएसआर पीढ़ी उनके बिना विफल हो जाएगा के रूप में लूना सीएसआर हस्ताक्षर करने के लिए इस कुंजी का उपयोग नहीं करेगा.

3. निम्न आदेशों के आउटपुट की समीक्षा करके अपनी सार्वजनिक और निजी कुंजियों के लिए हैंडल नंबर प्राप्त करें:

सीएमयू सूची -क्लास पब्लिक
सीएमयू सूची -क्लास निजी

4. इस कमांड का उपयोग करके एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) बनाएं (AAA और BBB को क्रमशः अपने सार्वजनिक और निजी कुंजी हैंडल से बदलें):

cmu requestcert -publichandle=AAA-privatehandle=BBB -C=CA -L = Ottawa -O=Sectigo -CN=PKC टेस्ट सर्टिफिकेट -outputFile=rsacsr.pem

5. इस कमांड को चलाकर पीकेसी उत्पन्न करें (एएए को अपने सार्वजनिक कुंजी हैंडल से बदलें):

सीएमयू getpkc -handle = AAA -outputfile = .p7b -pkctype=2 -verify

6. परिणामी फ़ाइल (.p7b) सहेजें, जो आपके सत्यापन पैकेज के रूप में काम करेगी।

7. प्रमाणपत्र श्रृंखला का निरीक्षण करने के लिए, सहेजी गई .p7b फ़ाइल पर डबल-क्लिक करें।

एक बार जब आप इस PKC फ़ाइल को सफलतापूर्वक जनरेट कर लेते हैं, तो आप अपना कोड साइनिंग ऑर्डर फ़ॉर्म पूरा करते समय इसे सत्यापन फ़ाइल के रूप में अपलोड करने के लिए आगे बढ़ सकते हैं।