Alibaba Cloud Certificate Management Service は、エンベロープ暗号化方式を使用して、証明書の秘密鍵を暗号化および保護するためにハードウェアセキュリティモジュールを呼び出します。 鍵管理システムの中核となるハードウェアセキュリティモジュールは、国家暗号管理局 (SCA) の認証を受けているか、FIPS 140-2 Level 3 に準拠しています。
この保護は、サービスによって管理されるすべての秘密鍵に適用されます。 これには、手動でアップロードした鍵と、Certificate Management Service コンソールで証明書署名リクエスト (CSR) を作成したときに生成された鍵が含まれます。
プレーンテキストの秘密鍵を含む証明書をアップロードすると、Certificate Management Service はハードウェアセキュリティモジュールを呼び出してプレーンテキストを暗号化し、暗号文を Object Storage Service (OSS) に保存します。 サービスはプレーンテキストの秘密鍵を保存しません。
プレーンテキストの秘密鍵を含む証明書をダウンロードすると、Certificate Management Service はハードウェアセキュリティモジュールを呼び出して秘密鍵の暗号文を復号します。 サービスは、結果として得られたプレーンテキストの秘密鍵を一時的に OSS に保存し、ダウンロードリンクを返します。 ダウンロードが完了するか、ダウンロードリンクの有効期限が切れるとすぐに、システムはこのプレーンテキストキーを自動的かつ即座に破棄します。