Charger les paires de clés et les certificats requis pour la signature de code

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Établissez la relation dans une instance de non-production désignée à l’aide de la signature de code. Cette première étape charge deux clés de chiffrement dans l’environnement de non-production afin d’établir une source fiable pour les mises à jour de l’instance de production.

    Avant de commencer

    Rôles requis : sn_kmf.admin ou sn_kmf.cryptographic_manager

    Pourquoi et quand exécuter cette tâche

    La première étape de l’établissement de la relation consiste à établir la fondation de confiance dans une instance de non-production désignée à l’aide de la signature de code. Pour effectuer cette tâche, vous aurez besoin des éléments suivants.
    • Vous devez disposer de deux paires de clés publiques/privées RSA 4 096 bits à charger dans les modules cryptographiques de signature de code :
      • Une paire pour le module cryptographique cm_code_signing
      • Une paire pour le module cryptographique cm_code_attest

      Pour plus d’informations sur ces touches, reportez-vous à la section Créer des paires de clés et des certificats de signature de code.

      Important :
      Ces paires de clés doivent être signées par une autorité de certification publique ou par l’autorité de certification interne de votre organisation. Le certificat ne peut pas être signé automatiquement.
    • Un fichier Public Key Cryptography Standard #12 (.p12) contenant votre certificat de distribution.

    Procédure

    1. Importez vos clés à partir du magasin de clés.
      1. Accédez à la Tous > Gestion des clés > Modules de chiffrement > Tous.
      2. Recherchez et ouvrez le module de chiffrement nommé cm_code_signing.
      3. Dans la liste Spécifications de chiffrement , sélectionnez le nom de la spécification de chiffrement pour l’ouvrir.
      4. Dans l’écran Importer la clé à partir du magasin de clés , sélectionnez Importer la clé.
    2. Répétez la première étape pour importer le module cryptographique nommé cm_code_attest.
    3. Dans le champ Saisir le mot de passe du magasin de clés , saisissez le mot de passe de demande que vous avez créé lors de la génération de votre certificat RSA.
      Remarque :
      Le mot de passe de demande que vous avez créé est appelé ici mot de passe du magasin de clés. Dans d’autres parties du processus, il peut s’agir d’un mot de passe d’importation ou d’exportation. Dans tous les cas, ce mot de passe est le même que celui que vous avez créé lors des étapes précédentes.
    4. Sélectionnez le bouton Parcourir en regard de Importer un magasin de clés/certificat.
    5. Sélectionnez votre fichier p12 (mentionné dans la section Avant de commencer en haut de ce document), puis sélectionnez Télécharger tout.
    6. Sélectionnez OK.
      Important :
      Si vous utilisez votre propre autorité de certification interne, vous devez charger les certificats intermédiaires de l’autorité de certification interne à l’aide du processus des étapes 5 et 6.
      Si votre clé et vos certificats sont importés avec succès, un message de confirmation s’affiche.

      Vous pouvez valider que la clé et les certificats sont présents sur votre instance dans la table Certificats X.509 [sys_certificate]. Ces enregistrements ont un type de certificat de magasin de confiance.

      Vous pouvez valider votre clé sur la table Modules de chiffrement [sys_kmf_crypto_module].

    Que faire ensuite

    Exportez le certificat vers la production. Voir pour plus de détails.