Panduan ini memberikan petunjuk langkah demi langkah untuk menyelesaikan pesanan penandatanganan kode Anda menggunakan metode“Instal pada HSM yang Sudah Ada” untuk Luna Network Attached HSM v7.x.
Harap diperhatikan bahwa panduan ini mengasumsikan bahwa Anda telah memiliki perangkat Luna HSM dan mengetahui cara menggunakannya. Kepemilikan perangkat keras ini merupakan prasyarat sebelum melanjutkan dengan perintah penandatanganan kode.
Jika Anda tidak terbiasa dengan modul keamanan perangkat keras, Anda bisa memesan token sertifikat yang sudah dikonfigurasi sebelumnya (Token + Metode pengiriman).
Petunjuk berikut ini ditawarkan oleh Sectigo CA. Untuk bantuan lebih lanjut terkait perangkat keras pihak ketiga, hubungi produsen modul keamanan perangkat keras (HSM) Anda karena mereka dapat memberikan dukungan khusus.
Paket Pengesahan Luna HSM
Luna HSM menghasilkan paket konfirmasi kunci publik (PKC) untuk setiap pasangan kunci yang disimpan di dalam HSM. PKC ini memastikan bahwa pasangan kunci memang dibuat dan disimpan dengan aman di dalam HSM Luna yang berkemampuan FIPS.
Format Paket Pengesahan
PKC yang dihasilkan adalah file DER PKCS7 yang berisi rantai sertifikat. Isi PKC dapat bervariasi berdasarkan algoritma asimetris yang digunakan untuk membuat pasangan kunci.
PKC untuk RSA Keypair
Ketika membuat PKC untuk pasangan kunci RSA, ada dua format yang tersedia:
- TC-Trust Center: Format ini menyertakan 3 sertifikat dalam rantai, tetapi tidak diakhiri dengan root SafeNet yang diharapkan.
- Kepompong-ITS: Dalam format ini, PKC terdiri dari 5 sertifikat, dan rantai ini berpuncak pada root SafeNet yang diharapkan.
Untuk detail lebih lanjut, bacalah dokumentasi Thale mengenai HSM Luna.
Bagaimana cara menghasilkan PKC di Chrysalis-ITS?
Untuk membuat PKC dalam format Chrysalis-ITS untuk pasangan kunci RSA, ikuti langkah-langkah berikut:
-
Akses Luna HSM menggunakan klien jarak jauh Luna dan berhasil masuk.
-
Hasilkan pasangan kunci RSA pada Luna Partition1 menggunakan utilitas LunaCM2. Jalankan perintah berikut ini:
Untuk Windows:
c:\ cd c:\Program Files\SafeNet\LunaClient
c:\Program Files\SafeNet\LunaClient> lunacm
Untuk Linux:
cd /usr/safenet/lunaclient/bin
./lunacm
Perintah:
cmu gen -modulusBits = 3072 -publicExp = 65537 -sign = T -verify = T -label = example-key -extractable = false
Catatan: Parameter “-extractable = false” dan“-sign = T” adalah wajib. Pembuatan CSR akan gagal tanpa mereka karena Luna tidak akan menggunakan kunci ini untuk penandatanganan CSR.
3. Dapatkan nomor pegangan untuk kunci publik dan privat anda dengan meninjau keluaran dari perintah berikut:
cmu list -class public
cmu list -class private
4. Buat Permintaan Penandatanganan Sertifikat (CSR) menggunakan perintah ini (ganti AAA dan BBB dengan pegangan kunci publik dan privat Anda):
cmu requestcert -publichandle = AAA -privatehandle = BBB -C = CA -L = Ottawa -O = Sectigo -CN = PKC Test Cert -outputFile = rsacsr.pem
5. Hasilkan PKC dengan menjalankan perintah ini (ganti AAA dengan pegangan kunci publik Anda):
cmu getpkc -handle = AAA -outputfile = .p7b -pkctype = 2 -verify
6. Simpan file yang dihasilkan (.p7b), yang akan berfungsi sebagai paket pengesahan Anda.
7. Untuk memeriksa rantai sertifikat, klik dua kali pada file .p7b yang disimpan.
Setelah Anda berhasil membuat file PKC ini, Anda dapat melanjutkan untuk mengunggahnya sebagai file pengesahan saat mengisi formulir pemesanan Penandatanganan Kode.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
