bg-tutorials

Luna Ağa Bağlı HSM v7.x: CSR ve Onay Kılavuzu

Bu kılavuz, Luna Network Attached HSM v7.x için“Install on Existing HSM” yöntemini kullanarak kod imzalama siparişinizi tamamlamak için adım adım talimatlar sağlar.

Lütfen bu kılavuzun Luna HSM cihazınıza zaten sahip olduğunuzu ve onu nasıl kullanacağınızı bildiğinizi varsaydığını unutmayın. Kod imzalama siparişine devam etmeden önce bu donanıma sahip olmak bir ön koşuldur.

Donanım güvenlik modüllerini bilmiyorsanız, bunun yerine önceden yapılandırılmış bir sertifika belirteci (Belirteç + Gönderim yöntemi) sipariş edebilirsiniz.

Aşağıdaki talimatlar Sectigo CA tarafından sunulmaktadır. Üçüncü taraf donanımı ile ilgili daha fazla yardım için, özel destek sağlayabilecekleri için özel donanım güvenlik modülü (HSM) üreticinize başvurun.

Luna HSM Onay Paketi

Luna HSM’ler, HSM içinde saklanan her anahtar çifti için genel anahtar onay paketi (PKC) oluşturur. Bu PKC, anahtar çiftinin gerçekten üretildiğini ve FIPS özellikli bir Luna HSM’de güvenli bir şekilde saklandığını garanti eder.

Tasdik Paketi Formatı

Oluşturulan PKC’ler bir sertifika zinciri içeren DER PKCS7 dosyalarıdır. PKC’nin içeriği, anahtar çiftini oluşturmak için kullanılan asimetrik algoritmaya bağlı olarak değişebilir.

RSA Anahtar Çifti için PKC

Bir RSA anahtar çifti için PKC oluştururken, iki olası biçim mevcuttur:

  1. TC-Trust Center: Bu format zincirde 3 sertifika içerir, ancak beklenen SafeNet kökü ile sonuçlanmaz.
  2. Chrysalis-ITS: Bu formatta, PKC 5 sertifikadan oluşur ve zincir beklenen SafeNet kökü ile sonuçlanır.

Daha fazla ayrıntı için Thale’nin Luna HSM ile ilgili belgelerine bakın.

Chrysalis-ITS’de PKC nasıl oluşturulur?

Bir RSA anahtar çifti için Chrysalis-ITS biçiminde bir PKC oluşturmak için lütfen aşağıdaki adımları izleyin:

  1. Luna uzak istemcisini kullanarak Luna HSM’ye erişin ve başarıyla oturum açın.
  2. LunaCM2 yardımcı programını kullanarak Luna Partition1 üzerinde bir RSA anahtar çifti oluşturun. Aşağıdaki komutu çalıştırın:

Windows için:

c:\ cd c:\Program Files\SafeNet\LunaClient
c:\Program Files\SafeNet\LunaClient> lunacm

Linux için:

cd /usr/safenet/lunaclient/bin
./lunacm

Emredin:

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -label=example-key -extractable=false

Not: “-extractable=false” ve“-sign=T” parametreleri zorunludur. Luna, CSR imzalama için bu anahtarı kullanmayacağından CSR oluşturma işlemi bunlar olmadan başarısız olacaktır.

3. Aşağıdaki komutların çıktılarını inceleyerek genel ve özel anahtarlarınızın tanıtıcı numaralarını edinin:

cmu list -class public
cmu list -class private

4. Bu komutu kullanarak bir Sertifika İmzalama İsteği (CSR) oluşturun (AAA ve BBB’yi sırasıyla genel ve özel anahtar tanıtıcılarınızla değiştirin):

cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem

5. Bu komutu çalıştırarak PKC’yi oluşturun (AAA yerine açık anahtar tanıtıcınızı yazın):

cmu getpkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify

6. Ortaya çıkan dosyayı (.p7b) kaydedin, bu dosya tasdik paketiniz olarak hizmet edecektir.

7. Sertifika zincirini incelemek için kaydedilen .p7b dosyasına çift tıklayın.

Bu PKC dosyasını başarıyla oluşturduktan sonra, Kod İmzalama sipariş formunuzu doldururken tasdik dosyası olarak yüklemeye devam edebilirsiniz.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.