Este guia fornece instruções passo a passo para concluir seu pedido de assinatura de código usando o método“Install on Existing HSM” (Instalar no HSM existente) para o Luna Network Attached HSM v7.x.
Observe que este guia pressupõe que você já possui o dispositivo Luna HSM e sabe como usá-lo. A propriedade desse hardware é um pré-requisito antes de prosseguir com o pedido de assinatura de código.
Se você não estiver familiarizado com módulos de segurança de hardware, poderá solicitar um token de certificado pré-configurado (método Token + Shipping).
As instruções a seguir são oferecidas pela Sectigo CA. Para obter assistência adicional relacionada a hardware de terceiros, consulte o fabricante específico do módulo de segurança de hardware (HSM), pois ele pode fornecer suporte dedicado.
Pacote de atestado do Luna HSM
Os HSMs Luna geram o pacote de confirmação de chave pública (PKC) para cada par de chaves armazenado no HSM. Esse PKC garante que o par de chaves foi de fato gerado e armazenado com segurança em um Luna HSM habilitado para FIPS.
Formato do pacote de atestados
Os PKCs gerados são arquivos DER PKCS7 que contêm uma cadeia de certificados. O conteúdo do PKC pode variar de acordo com o algoritmo assimétrico usado para criar o par de chaves.
PKC para par de chaves RSA
Ao gerar um PKC para um par de chaves RSA, há dois formatos possíveis disponíveis:
- TC – Centro de Confiança: Esse formato inclui 3 certificados na cadeia, mas não termina com a raiz SafeNet esperada.
- Chrysalis-ITS: Nesse formato, o PKC consiste em 5 certificados, e a cadeia culmina com a raiz esperada do SafeNet.
Para obter mais detalhes, consulte a documentação da Thale sobre o Luna HSM.
Como gerar o PKC no Chrysalis-ITS?
Para criar um PKC no formato Chrysalis-ITS para um par de chaves RSA, siga estas etapas:
1. Acesse o Luna HSM usando o cliente remoto do Luna e faça o login com êxito.
2. Gere um par de chaves RSA na Luna Partition1 usando o utilitário LunaCM2. Execute o seguinte comando:
Para Windows:
c:\ cd c:\Arquivos de programas\SafeNet\LunaClient
c:\Arquivos de Programas\SafeNet\LunaClient> lunacm
Para Linux:
cd /usr/safenet/lunaclient/bin
./lunacm
Comando:
cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false
Observação: os parâmetros “-extractable=false” e“-sign=T” são obrigatórios. A geração de CSR falhará sem eles, pois o Luna não usará essa chave para assinatura de CSR.
3. Obtenha os números de identificação das chaves pública e privada revisando a saída dos seguintes comandos:
cmu list -class public
cmu list -class private
4. Crie uma Solicitação de Assinatura de Certificado (CSR) usando este comando (substitua AAA e BBB por seus identificadores de chave pública e privada, respectivamente):
cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem
5. Gere o PKC executando este comando (substitua AAA pelo identificador de sua chave pública):
cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify
6. Salve o arquivo resultante (.p7b), que servirá como seu pacote de atestado.
7. Para inspecionar a cadeia de certificados, clique duas vezes no arquivo .p7b salvo.
Depois de gerar esse arquivo PKC com êxito, você poderá carregá-lo como o arquivo de atestado ao preencher o formulário de pedido de assinatura de código.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
