ハードウェアセキュリティモジュール
ディスクに保存されたプライベートキーに加えて、Keyless SSLはPKCS#11標準を介してハードウェアセキュリティモジュール(HSM)に保存されたキーをサポートしています。Keylessは、プライベートキーに直接アクセスすることなく、ペイロードの署名や復号化にPKCS#11を使用します。
ハードウェアセキュリティモジュール(HSM)は、プライベートキーをキーサーバーに直接保存するよりも高いレベルの保護を提供します。HSMの主な責任は、プライベートキーを保護し、署名や暗号化などの操作を内部で実行することです。アクセス制御に加えて、物理デバイスは政府や業界規制(例:FIPS 140) ↗に準拠するために、ある程度の耐改ざん性を提供する必要があります。
さらに、多くのHSMはキーの生成や暗号的に安全なランダム性の生成も可能です。中には、暗号計算をより効率的に実行するために特別に設計されたものもあります。
キーサーバーはPKCS#11を介してHSMと通信するため、標準をサポートするHSMはすべてKeyless SSLと一緒に使用できます。
PKCS#11トークンの初期化に関する詳細は、設定を参照してください。
以下のモジュールとの相互運用性を確認しています:
以下のクラウドHSMオファリングでもテストを行いました:
上記にリストされていないHSMモデルでKeyless SSLを展開している場合は、詳細を記載の上、keyless@cloudflare.comまでメールしてください。