Luna Network Attached HSM v7.x: Руководство по CSR и аттестации

Это руководство содержит пошаговые инструкции по выполнению заказа на подписание кода методом“Установить на существующий HSM” для Luna Network Attached HSM v7.x.

Обратите внимание, что данное руководство предполагает, что у Вас уже есть устройство Luna HSM и Вы знаете, как им пользоваться. Владение этим оборудованием является обязательным условием, прежде чем приступать к выполнению заказа на подписание кода.

Если Вы не знакомы с аппаратными модулями безопасности, вместо них Вы можете заказать предварительно сконфигурированный токен сертификата (метод “Токен + доставка”).

Следующие инструкции предлагаются компанией Sectigo CA. Для получения дальнейшей помощи, связанной с оборудованием сторонних производителей, обратитесь к производителю конкретного аппаратного модуля безопасности (HSM), поскольку он может предоставить специализированную поддержку.

Аттестационный пакет Luna HSM

Luna HSM генерируют пакет подтверждения открытого ключа (PKC) для каждой пары ключей, хранящихся в HSM. Этот PKC гарантирует, что пара ключей действительно была сгенерирована и надежно сохранена в FIPS-совместимом Luna HSM.

Формат аттестационного пакета

Генерируемые PKC представляют собой файлы DER PKCS7, содержащие цепочку сертификатов. Содержимое PKC может варьироваться в зависимости от асимметричного алгоритма, использованного для создания пары ключей.

PKC для пары ключей RSA

При генерации PKC для пары ключей RSA существует два возможных формата:

  1. TC-Trust Center: Этот формат включает в себя 3 сертификата в цепочке, но не завершается ожидаемым корневым сертификатом SafeNet.
  2. Chrysalis-ITS: В этом формате PKC состоит из 5 сертификатов, и цепочка завершается ожидаемым корневым сертификатом SafeNet.

Для получения более подробной информации обратитесь к документации Thale по Luna HSM.

Как сгенерировать PKC в Chrysalis-ITS?

Чтобы создать PKC в формате Chrysalis-ITS для пары ключей RSA, выполните следующие действия:

1. Получите доступ к Luna HSM с помощью удаленного клиента Luna и успешно войдите в систему.

2. Сгенерируйте пару ключей RSA на Luna Partition1 с помощью утилиты LunaCM2. Выполните следующую команду:

Для Windows:

c:\ cd c:\Program Files\SafeNet\LunaClient
c:\Program Files\SafeNet\LunaClient> lunacm

Для Linux:

cd /usr/safenet/lunaclient/bin
./lunacm

Командуйте:

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false

Примечание: Параметры “-extractable=false” и“-sign=T” являются обязательными. Без них генерация CSR будет неудачной, поскольку Luna не будет использовать этот ключ для подписи CSR.

3. Получите номера ручек для Ваших открытых и закрытых ключей, просмотрев вывод следующих команд:

cmu list -class public
cmu list -class private

4. Создайте запрос на подписание сертификата (CSR) с помощью этой команды (замените AAA и BBB на ручки Ваших открытого и закрытого ключей соответственно):

cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem

5. Сгенерируйте PKC, выполнив эту команду (замените AAA на handle Вашего открытого ключа):

cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify

6. Сохраните полученный файл (.p7b), который будет служить Вашим аттестационным пакетом.

7. Чтобы просмотреть цепочку сертификатов, дважды щелкните по сохраненному файлу .p7b.

После того, как Вы успешно сгенерировали этот PKC-файл, Вы можете загрузить его в качестве файла заверения при заполнении формы заказа на подписание кода.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.