Acest ghid oferă instrucțiuni pas cu pas pentru finalizarea comenzii certificatului de semnare a codului utilizând metoda instalării pe un modul de securitate hardware existent pentru Luna Network Attached HSM v7.x.
Acest ghid pornește de la premisa că dețineți deja dispozitivul Luna HSM și că știți cum să îl utilizați. Deținerea acestui modul hardware este o condiție prealabilă înaintea comenzii certificatului de semnare a codului.
Dacă nu sunteți familiarizat cu modulele de securitate hardware, puteți comanda în schimb un dispozitiv criptografic (token) cu certificatul preconfigurat (Token + Metoda de expediere).
Următoarele instrucțiuni sunt oferite de Sectigo. Pentru orice asistență suplimentară, adresați-vă producătorului specific al modulului de securitate hardware (HSM).
Pachetul de atestare Luna HSM
HSM-urile Luna generează pachetul de confirmare a cheii publice (PKC) pentru fiecare pereche de chei stocate în HSM. Acest PKC garantează că perechea de chei a fost într-adevăr generată și stocată în siguranță într-un HSM Luna compatibil FIPS.
Formatul pachetului de atestare
PKC-urile generate sunt fișiere DER PKCS7 care conțin un lanț de certificate. Conținutul PKC poate varia în funcție de algoritmul asimetric utilizat pentru a crea perechea de chei.
PKC pentru pereche de chei RSA
Atunci când se generează un PKC pentru o pereche de chei RSA, există două formate posibile:
- TC-Trust Center: Acest format include 3 certificate în lanț, dar nu se încheie cu rădăcina SafeNet.
- Chrysalis-ITS: În acest format, PKC este format din 5 certificate, iar lanțul culminează cu rădăcina SafeNet.
Pentru mai multe detalii, consultați documentația Thale privind Luna HSM.
Cum se generează PKC în Chrysalis-ITS?
Pentru a crea un PKC în formatul Chrysalis-ITS pentru o pereche de chei RSA, vă rugăm să urmați pașii de mai jos:
1. Accesați Luna HSM folosind clientul la distanță Luna și conectați-vă cu succes.
2. Generați o pereche de chei RSA pe Luna Partition1 utilizând utilitarul LunaCM2. Executați următoarea comandă:
Pentru Windows:
c:\ cd c:\Program Files\SafeNet\LunaClient
c:\Program Files\SafeNet\LunaClient> lunacm
Pentru Linux:
cd /usr/safenet/lunaclient/bin
./lunacm
Comandă:
cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false
Notă: Parametrii “-extractable=false” și“-sign=T” sunt obligatorii. Generarea CSR va eșua fără ele, deoarece Luna nu va utiliza această cheie pentru semnarea CSR.
3. Obțineți numerele handle pentru cheile dvs. publică și privată, examinând rezultatele următoarelor comenzi:
cmu list -class public
cmu list -class private
4. Creați o cerere de semnare a certificatului (CSR) utilizând această comandă (înlocuiți AAA și BBB cu numele de cod public și respectiv privat):
cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem
5. Generați PKC prin rularea acestei comenzi (înlocuiți AAA cu datele cheii dvs. publice):
cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify
6. Salvați fișierul rezultat (.p7b), care va servi drept pachet de atestare.
7. Pentru a inspecta lanțul de certificate, faceți dublu clic pe fișierul .p7b salvat.
După ce ați generat cu succes acest fișier PKC, îl puteți încărca ca fișier de atestare atunci când completați formularul de comandă pentru semnarea codului.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10
