Luna Network Attached Network HSM v7.x: دليل المسؤولية الاجتماعية للشركات والتصديق

يوفر هذا الدليل إرشادات خطوة بخطوة لإكمال طلب توقيع الرمز الخاص بك باستخدام طريقة“التثبيت على جهاز HSM الحالي” لجهاز Luna Network Attached HSM v7.x.

يرجى ملاحظة أن هذا الدليل يفترض أنك تمتلك بالفعل جهاز Luna HSM الخاص بك وتعرف كيفية استخدامه. تُعد ملكية هذه الأجهزة شرطاً أساسياً قبل الشروع في أمر توقيع الرمز.

إذا لم تكن على دراية بوحدات أمان الأجهزة، يمكنك طلب رمز شهادة مهيأ مسبقًا (طريقة الرمز المميز + الشحن) بدلاً من ذلك.

الإرشادات التالية مقدمة من Sectigo CA. للحصول على أي مساعدة إضافية تتعلق بالأجهزة التابعة لجهة خارجية، راجع الشركة المصنعة لوحدة أمان الأجهزة (HSM) الخاصة بك حيث يمكنها تقديم دعم مخصص.

باقة تصديق لونا HSM

تنشئ أجهزة Luna HSMs حزمة تأكيد المفتاح العام (PKC) لكل زوج مفاتيح مخزن داخل HSM. يضمن هذا PKC أن زوج المفاتيح قد تم إنشاؤه بالفعل وتخزينه بشكل آمن في جهاز Luna HSM الممكّن لنظام FIPS.

تنسيق حزمة التصديق

ملفات PKC التي تم إنشاؤها هي ملفات DER PKCS7 التي تحتوي على سلسلة شهادات. قد تختلف محتويات PKC بناءً على الخوارزمية غير المتماثلة المستخدمة لإنشاء زوج المفاتيح.

PKC لزوج مفاتيح RSA

عند إنشاء PKC لزوج مفاتيح RSA، هناك تنسيقان محتملان متاحان:

1. مركز الثقة TC-Trust Center: يتضمن هذا التنسيق 3 شهادات في السلسلة، ولكنه لا يختتم بجذر SafeNet المتوقع.
2. Chrysalis-ITS: في هذا التنسيق، يتكون PKC من 5 شهادات، وتتوج السلسلة بجذر SafeNet المتوقع.

للحصول على مزيد من التفاصيل، راجع وثائق Thale الخاصة بـ Luna HSM.

كيفية توليد PKC في Chrysalis-ITS؟

لإنشاء PKC بتنسيق Chrysalis-ITS لزوج مفاتيح RSA، يرجى اتباع الخطوات التالية:

1. قم بالوصول إلى Luna HSM باستخدام عميل Luna عن بُعد وقم بتسجيل الدخول بنجاح.

2. أنشئ زوج مفاتيح RSA على Luna Partition1 باستخدام الأداة المساعدة LunaCM2. نفّذ الأمر التالي:

للويندوز:

ج:\ قرص مضغوط ج:\ ملفات البرنامج \SafeNet\LunaClient
c:\Program Files\SafeNet\LunaClient> lunacm

لنظام التشغيل Linux:

cd /usr /usr/safenet/lunaclient/bin
./لوناكم

الأمر:

cmu gen -modulusBits=3072 -publicExp=65537 -sign=T -verify=T -تسمية=مفتاح مثال-مفتاح-مثالي -قابلة للاستخراج=خطأ

ملاحظة: المعاملتان “-قابلة للاستخراج=خطأ” و“-علامة=T” إلزاميتان. سيفشل إنشاء CSR بدونها لأن Luna لن تستخدم هذا المفتاح لتوقيع CSR.

3. احصل على أرقام المعالجة لمفاتيحك العامة والخاصة من خلال مراجعة مخرجات الأوامر التالية:

قائمة CMU - الفئة العامة
قائمة CMU - فئة خاصة

4. قم بإنشاء طلب توقيع شهادة (CSR) باستخدام هذا الأمر (استبدل AAA وBBB بمقابض المفاتيح العامة والخاصة على التوالي):

cmu requestcert -publichandle=AAA -privatehandle=BBB -C=CA -C=CCA -L=Ottawa -O=Sectigo -CN=PKC Test Cert -outputFile=rsacsr.pem

5. أنشئ مفتاح PKC عن طريق تشغيل هذا الأمر (استبدل AAA بمفتاحك العام):

cmu getpkkc -handle=AAA -outputfile=.p7b -pkctype=2 -verify

6. احفظ الملف الناتج (.p7b)، والذي سيكون بمثابة حزمة التصديق الخاصة بك.

7. لفحص سلسلة الشهادات، انقر نقرًا مزدوجًا على ملف .p7b المحفوظ.

بمجرد أن تقوم بإنشاء ملف PKC هذا بنجاح، يمكنك المتابعة لتحميله كملف تصديق عند إكمال نموذج طلب توقيع الرمز الخاص بك.