Charger les paires de clés et les certificats requis pour la signature de code

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Établissez la relation dans une instance de non-production désignée à l’aide de la signature de code. Cette première étape charge deux clés cryptographiques dans l’environnement de non-production afin d’établir une source fiable pour les mises à jour de l’instance de production.

    Avant de commencer

    Rôles requis : security_admin et sn_kmf.cryptographic_manager

    Pourquoi et quand exécuter cette tâche

    La première étape de l’établissement de la relation consiste à établir la fondation de la fiducie dans une instance de non-production désignée à l’aide de la signature de code. Pour effectuer cette tâche, vous avez besoin des éléments suivants.
    • Vous devez disposer de deux paires de clés publiques/privées RSA 4 096 bits à charger dans les modules de chiffrement de signature de code :
      • Une paire pour le module cryptographique cm_code_signing
      • Une paire pour le module cryptographique cm_code_attest

      Pour en savoir plus sur ces touches, reportez-vous à la section Créer des paires de clés et des certificats de signature de code.

      Important :
      Ces paires de clés doivent être signées par une autorité de certification publique ou par l’autorité de certification interne de votre organisation. Le certificat ne peut pas être autosigné.
    • Un fichier Public Key Cryptography Standard #12 (.p12) contenant vos certificats feuille et intermédiaire.

    Procédure

    1. Importez vos clés à partir du magasin de clés.
      1. Accédez à la Tout > Gestion des clés > Modules de chiffrement > Tout.
      2. Recherchez et ouvrez le module de chiffrement nommé cm_code_signing.
      3. Dans la liste Spécifications de chiffrement , sélectionnez le nom de la spécification de chiffrement pour l’ouvrir.
      4. Dans l’écran Importer la clé depuis le magasin de clés , sélectionnez Importer la clé.
    2. Répétez la première étape pour importer le module cryptographique nommé cm_code_attest.
    3. Dans le champ Saisir le mot de passe du magasin de clé , saisissez le mot de passe de défi que vous avez créé lors de la génération de votre certificat RSA.
      Remarque :
      Le mot de passe de défi que vous avez créé est appelé ici mot de passe de magasin de clé. Dans d’autres parties du processus, il peut s’agir d’un mot de passe d’importation ou d’exportation. Dans tous les cas, ce mot de passe est le même que celui que vous avez créé dans les étapes précédentes.
    4. Sélectionnez le bouton Parcourir en regard de Importer un magasin de clé/certificat.
    5. Sélectionnez un fichier Public Key Cryptography Standard #12 (.p12) contenant votre certificat de distribution (mentionné dans la section Avant de commencer en haut de ce document).
    6. Sélectionnez OK.
      Important :
      Si vous utilisez votre propre autorité de certification interne, vous devez charger les certificats intermédiaires de l’autorité de certification interne en suivant le processus des étapes 5 et 6.
      Une fois l’importation de votre clé et de votre ou vos certificats réussis, un message de confirmation s’affiche.

      Vous pouvez valider que la clé et les certificats sont présents sur votre instance dans la table Certificats X.509 [sys_certificate]. Ces enregistrements ont un type de certificat de magasin de confiance.

      Vous pouvez valider votre clé dans la table Modules de chiffrement [sys_kmf_crypto_module].

    Que faire ensuite

    Exportez le certificat en production. Consultez Préparer les certificats du cercle de confiance pour en savoir plus.