Luna Network Attached HSM v7.x: Guia de CSR e atestado

Este guia fornece instruções passo a passo para concluir seu pedido de assinatura de código usando o método“Install on Existing HSM” (Instalar no HSM existente) para o Luna Network Attached HSM v7.x.

Observe que este guia pressupõe que você já possui o dispositivo Luna HSM e sabe como usá-lo. A propriedade desse hardware é um pré-requisito antes de prosseguir com o pedido de assinatura de código.

Se você não estiver familiarizado com módulos de segurança de hardware, poderá solicitar um token de certificado pré-configurado (método Token + Shipping).

As instruções a seguir são oferecidas pela Sectigo CA. Para obter assistência adicional relacionada a hardware de terceiros, consulte o fabricante específico do módulo de segurança de hardware (HSM), pois ele pode fornecer suporte dedicado.

Pacote de atestado do Luna HSM

Os HSMs Luna geram o pacote de confirmação de chave pública (PKC) para cada par de chaves armazenado no HSM. Esse PKC garante que o par de chaves foi de fato gerado e armazenado com segurança em um Luna HSM habilitado para FIPS.

Formato do pacote de atestados

Os PKCs gerados são arquivos DER PKCS7 que contêm uma cadeia de certificados. O conteúdo do PKC pode variar de acordo com o algoritmo assimétrico usado para criar o par de chaves.

PKC para par de chaves RSA

Ao gerar um PKC para um par de chaves RSA, há dois formatos possíveis disponíveis:

  1. TC – Centro de Confiança: Esse formato inclui 3 certificados na cadeia, mas não termina com a raiz SafeNet esperada.
  2. Chrysalis-ITS: Nesse formato, o PKC consiste em 5 certificados, e a cadeia culmina com a raiz esperada do SafeNet.

Para obter mais detalhes, consulte a documentação da Thale sobre o Luna HSM.

Como gerar o PKC no Chrysalis-ITS?

Para criar um PKC no formato Chrysalis-ITS para um par de chaves RSA, siga estas etapas:

1. Acesse o Luna HSM usando o cliente remoto do Luna e faça o login com êxito.

2. Gere um par de chaves RSA na Luna Partition1 usando o utilitário LunaCM2. Execute o seguinte comando:

Para Windows:

c:\ cd c:\Arquivos de programas\SafeNet\LunaClient
c:\Arquivos de Programas\SafeNet\LunaClient> lunacm

Para Linux:

cd /usr/safenet/lunaclient/bin
./lunacm

Comando:

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false

Observação: os parâmetros “-extractable=false” e“-sign=T” são obrigatórios. A geração de CSR falhará sem eles, pois o Luna não usará essa chave para assinatura de CSR.

3. Obtenha os números de identificação das chaves pública e privada revisando a saída dos seguintes comandos:

cmu list -class public
cmu list -class private

4. Crie uma Solicitação de Assinatura de Certificado (CSR) usando este comando (substitua AAA e BBB por seus identificadores de chave pública e privada, respectivamente):

cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem

5. Gere o PKC executando este comando (substitua AAA pelo identificador de sua chave pública):

cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify

6. Salve o arquivo resultante (.p7b), que servirá como seu pacote de atestado.

7. Para inspecionar a cadeia de certificados, clique duas vezes no arquivo .p7b salvo.

Depois de gerar esse arquivo PKC com êxito, você poderá carregá-lo como o arquivo de atestado ao preencher o formulário de pedido de assinatura de código.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.