Carregar pares de chaves e certificados necessários para assinatura de código

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Estabeleça o relacionamento em uma instância de não produção designada usando a Assinatura de código. Esta primeira etapa carrega duas chaves criptográficas no ambiente de não produção para estabelecer uma fonte confiável de atualizações para a instância de produção.

    Antes de Iniciar

    Funções necessárias: sn_kmf.admin ou sn_kmf.cryptographic_manager

    Por Que e Quando Desempenhar Esta Tarefa

    A primeira etapa para estabelecer o relacionamento é estabelecer a base de confiança em uma instância de não produção designada usando a Assinatura de código. Para executar esta tarefa:
    • Você deve ter dois pares de chaves públicas/privadas RSA de 4096 bits para carregar nos módulos criptográficos de Assinatura de código:
      • Um par para o módulo criptográfico cm_code_signing
      • Um par para o módulo criptográfico cm_code_attest

      Para obter mais informações sobre essas chaves, consulte Criar pares de chaves e certificados de assinatura de código.

      Importante:
      Esses pares de chaves devem ser assinados por uma autoridade de certificação pública ou assinados pela autoridade de certificação interna da sua organização. O certificado não pode ser autoassinado.
    • Um arquivo padrão de criptografia de chave pública nº 12 (.p12) com seu certificado de distribuição.

    Procedimento

    1. Importe suas chaves do armazenamento de chaves.
      1. Navegar até Tudo > Gestão de chave > Módulos Criptográficos > Tudo.
      2. Encontre e abra o módulo criptográfico chamado cm_code_signing.
      3. Na lista Especificações de criptografia, clique no nome da especificação criptográfica para abri-la.
      4. Na tela Importar chave do armazenamento de chaves, selecione “Importar chave”.
    2. Repita a primeira etapa para importar o módulo criptográfico chamado cm_code_attest.
    3. No campo Inserir senha de armazenamento de chaves, insira a senha de desafio que você criou quando gerou seu certificado RSA.
      Nota:
      A senha de desafio que você criou é chamada aqui de senha de armazenamento de chaves. Em outras partes do processo, isso pode ser chamado de senha de importação ou senha de exportação. Se necessário, essa senha é a mesma do desafio que você criou nas etapas anteriores.
    4. Selecione o botão Procurar ao lado de Importar armazenamento de chaves/Certificado.
    5. Selecione seu arquivo p12 (mencionado na seção antes de começar na parte superior deste documento)e selecione Baixar tudo.
    6. Selecione OK.
      Importante:
      Se você estiver usando sua própria autoridade de certificação interna, deverá carregar os certificados intermediários da autoridade de certificação interna usando o processo das etapas 5 a 6.
      Com uma importação bem-sucedida da sua chave e do certificado(s), será exibida uma mensagem de confirmação.

      Você pode validar que a chave e os certificados estão presentes em sua instância na tabela Certificados X.509 [sys_certificate]. Esses registros têm um tipo de Trust Store Certificate.

      Você pode validar sua chave na tabela Módulos criptográficos [sys_kmf_crypto_module].

    O que Fazer Depois

    Exporte o certificado para produção. Consulte para obter detalhes.