Laden Sie die erforderlichen Schlüsselpaare und Zertifikate für die Codesignatur

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Richten Sie die Beziehung mithilfe von Codesignatur in einer festgelegten Nicht-Produktionsinstanz ein. Dieser erste Schritt lädt zwei kryptografische Schlüssel in die Nicht-Produktionsumgebung, um eine vertrauenswürdige Quelle für Updates für die Produktionsinstanz zu erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.admin oder sn_kmf.cryptographic_manager

    Warum und wann dieser Vorgang ausgeführt wird

    Der erste Schritt beim Herstellen der Beziehung besteht darin, die Vertrauensbasis in einer festgelegten Nicht-Produktionsinstanz mithilfe von Codesignatur herzustellen. Um diese Aufgabe auszuführen, benötigen Sie Folgendes.
    • Sie benötigen zwei öffentlich/private 4096-Bit-RSA-Schlüsselpaare zum Laden in kryptografische Codesignaturmodule:
      • Ein Paar für das kryptografische Modul cm_code_signing
      • Ein Paar für das kryptografische Modul cm_code_attest

      Weitere Informationen zu diesen Schlüsseln finden Sie unter Erstellen Sie Schlüsselpaare und Zertifikate für die Codesignatur.

      Wichtig:
      Diese Schlüsselpaare müssen von einer öffentlichen Zertifizierungsstelle oder von der internen Zertifizierungsstelle Ihrer Organisation signiert sein. Das Zertifikat kann nicht selbst signiert werden.
    • Eine Public Key Kryptography Standard #12-Datei (.p12), die Ihr Verteilungszertifikat enthält.

    Prozedur

    1. Importieren Sie Ihre Schlüssel aus dem -Schlüsselspeicher.
      1. Navigieren zu Alle > Schlüsselverwaltung > Kryptografische Module > Alle.
      2. Suchen und öffnen Sie das kryptografische Modul mit dem Namen cm_code_signing.
      3. Wählen Sie in der Liste „Krypto-Spezifikationen“ den Namen der Krypto-Spezifikation aus, um sie zu öffnen.
      4. Wählen Sie im Bildschirm „Import key from keystore“ (Schlüssel aus Schlüsselspeicher importieren) die Option Import key(Schlüssel importieren) aus.
    2. Wiederholen Sie den ersten Schritt, um das kryptografische Modul mit dem Namen cm_code_attestzu importieren.
    3. Geben Sie im Feld Schlüsselspeicher-Passwort eingeben das Abfragepasswort ein, das Sie beim Generieren Ihres RSA-Zertifikats erstellt haben.
      Hinweis:
      Das von Ihnen erstellte Abfragepasswort wird hier als Schlüsselspeicher-Passwortbezeichnet. In anderen Teilen des Prozesses kann dies entweder als Importpasswort oder Exportpasswortbezeichnet werden. In allen Fällen ist dieses Passwort dasselbe Abfragepasswort, das Sie in den vorherigen Schritten erstellt haben.
    4. Wählen Sie die Schaltfläche Durchsuchen neben Schlüsselspeicher/Zertifikat importieren aus.
    5. Wählen Sie die p12-Datei aus (die im Abschnitt „Bevor Sie beginnen“ oben in diesem Dokument erwähnt wird), und wählen Sie dann Alle herunterladenaus.
    6. Wählen Sie OK.
      Wichtig:
      Wenn Sie Ihre eigene interne Zertifizierungsstelle verwenden, müssen Sie die Zwischenzertifikate der internen Zertifizierungsstelle mithilfe des Prozesses in den Schritten 5 bis 6 hochladen.
      Bei einem erfolgreichen Import Ihres Schlüssels und Ihrer Zertifikate wird eine Bestätigungsmeldung angezeigt.

      Sie können anhand der Tabelle „X.509-Zertifikate“ [sys_certificate] überprüfen, ob der Schlüssel und die Zertifikate in Ihrer Instanz vorhanden sind. Diese Datensätze haben den Typ Truststore-Zertifikat.

      Sie können Ihren Schlüssel in der Tabelle „Kryptografische Module“ [sys_kmf_crypto_module] validieren.

    Nächste Maßnahme

    Exportieren Sie das Zertifikat in die Produktion. Weitere Informationen finden Sie unter.