Carregar pares de chaves e certificados necessários para a assinatura de código

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Estabeleça o relacionamento em uma instância confiável designada usando a Assinatura de código. Esta primeira etapa carrega duas chaves criptográficas no ambiente confiável para estabelecer uma fonte confiável de atualizações para a instância de produção.

    Antes de Iniciar

    Funções necessárias: security_admin e sn_kmf.cryptographic_manager

    Por Que e Quando Desempenhar Esta Tarefa

    A primeira etapa para estabelecer o relacionamento é estabelecer a base de confiança em uma instância confiável designada usando a Assinatura de código. Para executar esta tarefa:
    • É necessário ter um par de chaves público/privado RSA de 4096 bits para carregar nos módulos criptográficos de assinatura de código:
      • Um par para o módulo criptográfico cm_code_signing
      • Um par para o módulo criptográfico cm_code_attest

      Para obter mais informações sobre essas chaves, consulte Criar pares de chaves e certificados de assinatura de código.

      Importante:
      Esses pares de chave devem ser assinados por uma autoridade de certificação pública ou assinado pela autoridade de certificação interna da sua organização. O certificado não pode ser autoassinado.
    • Um arquivo .p12 (Public Key Cryptography Standard #12) que contém seus certificados finais e intermediários.

    Procedimento

    1. Importe suas chaves do armazenamento de chaves.
      1. Navegar até Tudo > Gestão de chave > Módulos Criptográficos > Tudo.
      2. Encontre e abra o módulo criptográfico chamado cm_code_signing.
      3. Na lista Especificações de criptografia, clique no nome da especificação criptográfica para abri-la.
      4. Na tela Importar chave do armazenamento de chaves, selecione “Importar chave”.
    2. Repita a primeira etapa para importar o módulo criptográfico chamado cm_code_attest.
    3. No campo Inserir senha de armazenamento de chaves, insira a senha de desafio que você criou quando gerou seu certificado RSA.
      Nota:
      A senha de desafio que você criou é chamada aqui de senha de armazenamento de chaves. Em outras partes do processo, isso pode ser chamado de senha de importação ou senha de exportação. Se necessário, essa senha é a mesma do desafio que você criou nas etapas anteriores.
    4. Selecione o botão Procurar ao lado de Importar armazenamento de chaves/Certificado.
    5. Selecione um arquivo .p12 que contenha seu certificado de distribuição (mencionado na seção "Antes de começar", na parte superior deste documento).
    6. Selecione OK.
      Importante:
      Se você estiver usando uma autoridade de certificação própria, carregue os certificados intermediários da autoridade de certificação usando o processo das etapas 5 a 6.
      Com uma importação bem-sucedida da sua chave e do certificado(s), será exibida uma mensagem de confirmação.

      Você pode validar se a chave e os certificados estão presentes em sua instância na tabela Certificados X.509 [sys_certificate]. Esses registros têm um tipo de Trust Store Certificate.

      Você pode validar sua chave na tabela Módulos criptográficos [sys_kmf_crypto_module].

    O que Fazer Depois

    Exporte o certificado para produção. Consulte Preparar certificados do Círculo de confiança para obter detalhes.