Laden Sie die erforderlichen Schlüsselpaare und Zertifikate für die Codesignatur

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Stellen Sie die Beziehung mithilfe von Codesignatur in einer festgelegten vertrauenswürdigen Instanz her. Dieser erste Schritt lädt zwei kryptografische Schlüssel in die vertrauenswürdige Umgebung, um eine vertrauenswürdige Quelle für Updates für die Produktionsinstanz einzurichten.

    Vorbereitungen

    Erforderliche Rolle: security_admin und sn_kmf.cryptographic_manager

    Warum und wann dieser Vorgang ausgeführt wird

    Der erste Schritt zum Herstellen einer Beziehung besteht darin, in einer bestimmten vertrauenswürdigen Instanz mithilfe von Codesignatur die Vertrauensbasis herzustellen. Um diese Aufgabe auszuführen, benötigen Sie Folgendes.
    • Sie benötigen zwei 4096-Bit-RSA-Paare aus öffentlichen/privaten Schlüsseln, um sie in kryptografische Codesignaturmodule zu laden:
      • Ein Paar für das kryptografische Modul „cm_code_signing“.
      • Ein Paar für das kryptografische Modul „cm_code_attest“.

      Weitere Informationen zu diesen Schlüsseln finden Sie unter Erstellen Sie Codesignaturschlüsselpaare und -zertifikate.

      Wichtig:
      Diese Schlüsselpaare müssen von einer öffentlichen Zertifizierungsstelle oder von der internen Zertifizierungsstelle Ihrer Organisation signiert sein. Das Zertifikat kann nicht selbstsigniert werden.
    • Eine Public Key Cryptography Standard #12-Datei (.p12), die Ihre End- und Zwischenzertifikate enthält.

    Prozedur

    1. Importieren Sie Ihre Schlüssel aus dem Schlüsselspeicher.
      1. Navigieren zu Alle > Schlüsselverwaltung > Kryptografische Module > Alle.
      2. Suchen und öffnen Sie das kryptografische Modul cm_code_signing.
      3. Wählen Sie in der Liste Krypto-Spezifikationen den Namen der Krypto-Spezifikation aus, um sie zu öffnen.
      4. Wählen Sie im Bildschirm Schlüssel aus Schlüsselspeicher importierendie Option Importschlüsselaus.
    2. Wiederholen Sie den ersten Schritt, um das kryptografische Modul cm_code_attestzu importieren.
    3. Geben Sie im Feld Schlüsselspeicher-Passwort eingeben das Abfragepasswort ein, das Sie beim Generieren des RSA-Zertifikats erstellt haben.
      Hinweis:
      Das von Ihnen erstellte Abfragepasswort wird hier als Schlüsselspeicher-Passwortbezeichnet. In anderen Teilen des Prozesses kann dies entweder als Importpasswort oder als Exportpasswortbezeichnet werden. In allen Fällen ist dieses Passwort dasselbe Abfragepasswort, das Sie in den vorherigen Schritten erstellt haben.
    4. Wählen Sie die Schaltfläche Durchsuchen neben Schlüsselspeicher/Zertifikat importieren aus.
    5. Wählen Sie eine Public Key Cryptography Standard #12-Datei (.p12) aus, die Ihr Verteilungszertifikat enthält (im Abschnitt „Bevor Sie beginnen“ oben in diesem Dokument erwähnt).
    6. Wählen Sie OK.
      Wichtig:
      Wenn Sie Ihre eigene interne Zertifizierungsstelle verwenden, müssen Sie die Zwischenzertifikate der internen Zertifizierungsstelle entsprechend dem Prozess in den Schritten 5 bis 6 hochladen.
      Bei einem erfolgreichen Import Ihres Schlüssels und Ihrer Zertifikate wird eine Bestätigungsmeldung angezeigt.

      Sie können in der Tabelle „X.509-Zertifikate“ [sys_certificate] überprüfen, ob der Schlüssel und die Zertifikate in Ihrer Instanz vorhanden sind. Diese Datensätze haben den Typ Truststore-Zertifikat.

      Sie können Ihren Schlüssel in der Tabelle „Kryptografische Module“ [sys_kmf_crypto_module] validieren.

    Nächste Maßnahme

    Exportieren Sie das Zertifikat in die Produktion. Details siehe Circle of Trust-Zertifikate vorbereiten.