{"copy":"Skop\u00edrova\u0165","expand":"Rozbali\u0165","collapse":"Zbali\u0165","copy_success":"Skop\u00edrovan\u00e9!","copy_error":"Kop\u00edrovanie zlyhalo!"}

Podpisovanie kódu pomocou Google Cloud KMS

So službou Google Cloud KMS získate cloudové HSM s certifikáciou FIPS 140-2 Level 3. Môžete podpisovať kód bezpečne, rýchlo a odkiaľkoľvek. Náklady za počet operácií (podpisov) sú navyše veľmi priaznivé. Cloud KMS podporuje podpisovanie pomocou Microsoft Cryptography API: Next Generation (CNG).

Pre nastavenie a podpísanie kódu je potrebné urobiť nasledujúce kroky, ktoré postupne prejdeme:

  • Nainštalujte CNG provider
  • Vytvorte svoj podpisový kľúč
  • Získajte svoj certifikát
  • Podpíšte svoj artefakt

Stiahnite si CNG provider

Google publikoval svoj CNG provider vo svojom úložisku na GitHubu. Tieto súbory je možné nainštalovať do vášho systému Windows pomocou priloženého inštalačného súboru .msi. Potom postupujte podľa ich návodu, aby ste poskytovateľa nakonfigurovali.

Vytvorte svoj podpisový kľúč v Cloud HSM

Po vytvorení kľúčového zväzku (key ring) pre Cloud Key Management Service (KMS) API vytvorte podpisový kľúč, ktorý je hardvérovo chránený pomocou Cloud HSM. Vyberte asymetrický algoritmus pre podpisovanie, ktorý spĺňa vaše bezpečnostné požiadavky.

Vytvorenie podpisového kľúča s kľúčovým materiálom generovaným v CloudHSM

Vytvorte podpisový kľúč s kľúčovým materiálom generovaným v Google CloudHSM

Keď si vytvoríte prvú verziu kľúča, odporúčame v jeho detaile v Cloud Console skopírovať Copy resource name, pretože tento údaj budete potrebovať pre KEY_ID. Vyzerá takto: projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/1

Vytvorenie CSR a získanie certifikátu

Do HSM prirodzene nie je možné importovať certifikát s privátnym kľúčom, rovnako ako nie je možné tento pár exportovať. Privátny kľúč a CSR teda musí vzniknúť v HSM, CSR potom dodáte SSLmarketu a necháte si ho od DigiCertu podpísať. Import vydaného certifikátu je v ďalšom kroku.

Vytvorenie CSR je najlepšie vykonať na Linuxe, pomocou knižnice libengine-pkcs11-openssl, libkmsp11 a API. Samozrejme budete potrebovať aj balík google-cloud-cli.

Nainštalujte svoj podpisový certifikát

Importujte svoj podpisový certifikát do Cloud HSM. Tým zabezpečíte, že váš podpisový kľúč bude mať silnú ochranu založenú na hardvéri.

Ak zatiaľ nemáte existujúci podpisový kľúč, môžete vytvoriť nový podpisový kľúč chránený Cloud HSM a vygenerovať CSR (žiadosť o podpísanie certifikátu). Potom túto žiadosť predložte svojej certifikačnej autorite, aby ste získali nový certifikát pre podpisovanie kódu.

Podpíšte svoje artefakty

Teraz, keď ste nainštalovali svojho CNG poskytovateľa, vytvorili kľúč v Cloud HSM a máte svoj certifikát, môžete pomocou nástroja SignTool kryptograficky podpísať svoj artefakt.

Uistite sa, že zadávate správne parametre, napríklad názov poskytovateľa Google Cloud KMS Provider a URI kľúča z Cloud HSM.

Zdroje: