Questa guida fornisce istruzioni passo passo per completare l’ordine di firma del codice utilizzando il metodo“Install on Existing HSM” per il Luna Network Attached HSM v7.x.
Questa guida presuppone che tu sia già in possesso del dispositivo HSM Luna e che tu sappia come utilizzarlo. Il possesso di questo hardware è un prerequisito prima di procedere con l’ordine di firma del codice.
Se non conosci i moduli di sicurezza hardware, puoi ordinare un token di certificato preconfigurato (metodo Token + Spedizione).
Le seguenti istruzioni sono offerte da Sectigo CA. Per qualsiasi ulteriore assistenza relativa all’hardware di terze parti, fai riferimento al produttore del tuo modulo di sicurezza hardware (HSM) specifico, che può fornire un supporto dedicato.
Pacchetto di attestazione Luna HSM
Gli HSM Luna generano un pacchetto di conferma della chiave pubblica (PKC) per ogni coppia di chiavi memorizzata nell’HSM. Questo PKC garantisce che la coppia di chiavi è stata effettivamente generata e conservata in modo sicuro in un HSM Luna abilitato FIPS.
Formato del pacchetto di attestazione
I PKC generati sono file DER PKCS7 che contengono una catena di certificati. Il contenuto del PKC può variare in base all’algoritmo asimmetrico utilizzato per creare la coppia di chiavi.
PKC per coppia di chiavi RSA
Quando si genera un PKC per una coppia di chiavi RSA, sono disponibili due possibili formati:
- TC-Trust Center: Questo formato include 3 certificati nella catena, ma non si conclude con la radice SafeNet prevista.
- Crisalide-ITS: In questo formato, il PKC è composto da 5 certificati e la catena culmina con la radice SafeNet prevista.
Per ulteriori dettagli, consulta la documentazione di Thale sul Luna HSM.
Come generare la PKC in Chrysalis-ITS?
Per creare un PKC nel formato Chrysalis-ITS per una coppia di chiavi RSA, segui i seguenti passaggi:
- Accedi all’HSM Luna utilizzando il client remoto Luna e accedi con successo.
- Genera una coppia di chiavi RSA sulla partizione Luna1 utilizzando l’utility LunaCM2. Esegui il seguente comando:
Per Windows:
c:\ cd c:\Programmi\SafeNet\LunaClient
c:\Programmi\SafeNet\LunaClient> lunacm
Per Linux:
cd /usr/safenet/lunaclient/bin
./lunacm
Comando:
cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false
Nota: i parametri “-extractable=false” e“-sign=T” sono obbligatori. La generazione di una CSR fallirà senza questi parametri perché Luna non utilizzerà la chiave per la firma della CSR.
3. Ottieni i numeri di handle delle tue chiavi pubbliche e private esaminando l’output dei seguenti comandi:
cmu list -class public
cmu list -class private
4. Crea una richiesta di firma del certificato (CSR) utilizzando questo comando (sostituisci AAA e BBB con le tue chiavi pubbliche e private rispettivamente):
cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem
5. Genera la PKC eseguendo questo comando (sostituisci AAA con l’handle della tua chiave pubblica):
cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify
6. Salva il file risultante (.p7b), che servirà come pacchetto di attestazione.
7. Per esaminare la catena di certificati, fai doppio clic sul file .p7b salvato.
Una volta generato questo file PKC, potrai caricarlo come file di attestazione al momento della compilazione del modulo d’ordine per la firma del codice.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

