Сертификати за подписване на код, опции за подписване в облак и интеграция на операции по подписване

Какво е сертификат за подписване на код?

Сертификатът за подписване на код е цифров сертификат, който предоставя глобално прието доказателство за самоличност на софтуерен издател и може да бъде получен от реномиран сертифициращ орган (CA), като SSL.com. Софтуерните компании използват сертификати за подписване на код, за да докажат, че са разработчиците на приложение. 

Сертификатите за подписване на код също предотвратяват подправяне на кода и гарантират, че файлът не съдържа неоторизирани модификации, злонамерен софтуер и е безопасен за инсталиране. Сертификатите за подписване на код са основна функция за сигурност, когато софтуерът се разпространява, продава и изтегля онлайн.  Цифрово подписване на вашия код с доверени SSL.com сертификати позволява на потребителите и операционните системи да знаят, че вашият софтуер е автентичен и безопасен за инсталиране. Винаги можете да се свържете с нас търговски екип за да обясните тези опции и да предоставите оферта.

Избор на правилния сертификат за подписване на код

Сертификатите за валидиране на организация (OV) и индивидуално валидиране (IV) се наричат ​​сертификати с висока степен на сигурност, тъй като изискват повече валидиране и по този начин осигуряват повече доверие, . За OV и IV сертификати CA ще провери действителната организация или отделно лице, което се опитва да получи сертификата. Името на организацията или физическото лице също е посочено в сертификата, което дава допълнително доверие, че притежателят на сертификата е с репутация. OV сертификатите често се използват от корпорации, правителства и други организации, които искат да осигурят допълнителен слой увереност на своите посетители. Освен SSL/TLS сертификати, OV и IV също са често използвани за подписване на код, подписване на документ, удостоверяване на клиента, и S/MIME имейл сертификати. За повече информация относно изискванията, моля, вижте SSL.com OV и IV изисквания. Сертификатът за подписване на код за индивидуална валидация (IV) прилага цифрови подписи с лично име, идеален за независими разработчици на софтуер и отделни сътрудници на проекти, които искат да увеличат доверието и доверието от своите потребители.  EV сертификатите, известни също като корпоративни сертификати за подписване на код, предоставят максимално доверие на посетителите и също така изискват най-много усилия от CA за валидиране. EV сертификати могат да се издават само на фирми и други регистрирани организации, а не на физически лица. SSL.com Sole Prietorship EV Code Signing Certificates добавят самоличността на физическо лице към стандартния сертификат за подписване на EV код. Тази опция за валидиране позволява на едноличен търговец или индивидуален сътрудник да включи името си в цифровия подпис. Опцията за валидиране на едноличен собственик също е за предприятия, които изискват допълнителен слой сигурност чрез включване на валидирана самоличност на физическо лице в цифровия подпис. За да научите повече за характеристиките на тези сертификати, можете да прочетете нашата статия,  Кой сертификат за подписване на код ми трябва? EV или OV? С бърз поглед определящите характеристики на сертификатите за подписване на OV и EV код са изброени по-долу.

IV Сертификат за подписване на код:

• Прилага цифрови подписи с лично име
• Идеален за независими разработчици на софтуер и индивидуални сътрудници на проекти

Сертификат за подписване на OV код:

• Потвърждава самоличността ви като софтуерен издател
• Защитава вашия софтуер от подправяне и заразяване със злонамерен софтуер

Сертификат за подписване на EV код:

• Възможност за подписване както на драйвери преди Windows 10, така и на Windows 10
• Незабавна репутация на Microsoft SmartScreen
• Неизтичане на подписа и времеви печат
•  Възможност за подписване в облака с помощта на eSigner
• Сертификатите за подписване на EV код добавят самоличността на физическо лице към стандартния сертификат за подписване на EV код

Настройване и използване на вашия акаунт в SSL.com

Ако все още не сте го направили, започнете създаване на акаунт в SSL.com. Вашият акаунт има способността да създава множество екипи, както и да кани множество потребители с определени роли и права.

Процесът на валидиране

За да валидира и издаде OV или IV сертификат, SSL.com трябва да потвърди вашата самоличност, физически адрес и телефонен номер чрез проверими онлайн ресурси и/или валидни документи за проверка. За повече подробности относно изискванията можете да прочетете Какви са изискванията за SSL.com OV и IV сертификати?  Освен това за поръчки на сертификат за подписване на код за IV, кандидатите ще трябва да представят лицево и задно изображение на лична карта плюс изображение на тях, които държат документа за самоличност до лицето си. Съгласно указанията, определени от форума на CA/Browser, трябва да се предостави допълнителна документация за издаване на сертификат за EV. Насочете се към ЧЗВ: Процес на разширена проверка (EV) да знаете всички изисквания за EV сертификати. За субекти, които искат EV Code Signing Certificates, SSL.com ще извърши валидиране както чрез доверени онлайн ресурси и/или валидни документи, така и допълнителна документация според указанията, определени от форума на CA/Browser.  

Нови ключови изисквания за съхранение на сертификати за подписване на OV и IV код

От 1 юни 2023 г. SSL.com Сертификатите за подписване на код за валидиране на организация (OV) и индивидуално валидиране (IV) ще се издават само на USB токени по Федерален стандарт за обработка на информация 140-2 (FIPS 140-2) или чрез нашата услуга за подписване на код в облака eSigner. Тази промяна е в съответствие с новите изисквания за съхранение на ключове на Форума за сертифициращ орган/браузър (CA/B) за повишаване на сигурността на ключовете за подписване на код. Предишното правило позволяваше сертификатите за подписване на OV и IV код да бъдат издавани като файлове за изтегляне от интернет. Тъй като новите изисквания позволяват използването само на криптирани USB токени или базирани на облак FIPS съвместими хардуерни устройства за съхраняване на сертификата и частния ключ, се очаква, че случаите на кражба на ключове за подписване на код и злоупотреба с тях от злонамерени участници ще бъдат значително намалени. Кликнете тази връзка за да научите повече за SSL.com Решение за подписване на облачен код eSigner.

Методи за съхранение и подписване на ключове за сертификати за подписване на код за разширена валидация 

USB токен

Най-често срещаният подход за подписване на EV код е да се използва хардуерен защитен модул (HSM) като USB токен, който съхранява сертификата за подписване на EV код и действа като ключ в подписващия софтуерен код. В сравнение със съхраняването на сертификата на локална машина, USB токенът има добри резултати по отношение на сигурността и преносимостта на преносими устройства. Едно ограничение за него обаче е, че може да бъде доста скъпо да се купуват и управляват множество токени и те не са толкова гъвкави в сравнение с базираните на облак опции.  SSL.com осигурява сигурно съхранение на частни ключове и физическа 2FA сигурност с USB токен Yubikey FIPS. Това USB устройство добавя защита срещу подправяне към вашия софтуер, тъй като само тези лица, които го притежават, ще имат право да подписват цифрово код за вашите приложения или програми.

Облачен HSM

Втора опция за подписване на EV код е да се използва мрежов HSM в облака за хостване на сертификати и ключове за подписване на код. Този метод предлага сравнимо ниво на сигурност като USB токен, тъй като частните ключове също не могат да бъдат експортирани. Тъй като подписването на код се извършва през облака, се постига мащабируемо сътрудничество между разработчиците. Трябва да се отбележи обаче, че този метод може да изисква опит с конкретния доставчик на облачни услуги. За издаване на сертификати за подписване на EV код SSL.com поддържа три облачни HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM и Google Cloud HSM. За да получите повече подробности за всеки от тях, можете да прочетете нашата статия от ръководството: Поддържани облачни HSM за подписване на документи и подписване на EV код.

• За да знаете как можете да използвате своя HSM акаунт и да наемете професионалист за Cloud HSM атестация, можете да прочетете нашата статия Донесете свой собствен одитор Cloud HSM атестация.
• SSL.com в момента разработва и тества процедури за атестиране за широк спектър от HSM платформи. Можете да попълните това форма за запитване за да разберем дали тестваме HSM платформа, която не е посочена по-горе.

eSigner: Подписване на код като услуга

Трето, модерен и много удобен подход към EV Code Signing се занимава с подписването на код като услуга. Услугата за подписване на облачен код на SSL.com eSigner е пример за този метод.  С eSigner SSL.com обработва инфраструктурата с публичен ключ (PKI) и HSM за подписване на код. Неизносимите ключове за подписване се съхраняват в HSM на eSigner, където нито клиентът, нито SSL.com могат да ги преглеждат. По този начин стандартът за сигурност е толкова висок, колкото при жетоните и облачните HSM, но няма нужда клиентът да се справя директно с тях. Средата eSigner включва редица опции за подписване, за да отговори на нуждите на различни клиенти, от индивидуални разработчици до сложни организации.

Опции за подписване на eSigner

• С услугата eSigner на SSL.com можете да използвате своя сертификат за подписване на код за разширена валидация на SSL.com, за да подпишете код от всяко устройство, свързано с интернет, без допълнителен хардуер. След като регистрирате поръчката си за сертификат за подписване на EV код в eSigner, можете да подпишете код с едно от двете Уеб приложение eSigner Express, eSigner CodeSignTool или чрез CSC-съвместим на SSL.com API за подписване на код. 

Поддържани от eSigner типове файлове

• Можете да прочетете нашето ръководство, Поддържани от eSigner типове файлове, за да знаете кои типове файлове се поддържат от eSigner Express и eSigner API.

Първи стъпки с вашия сертификат за подписване на код:

След като получите новия си сертификат за подписване на код, може да имате въпроси как да го използвате и с кои приложения може да бъде интегриран. Свързаните ръководства по-долу отговарят на често срещани въпроси, които може да имате за това как да започнете с новия си сертификат.

• Как да закупите сертификати за подписване на код и подписване на EV код от SSL.com
• Как да инсталирате SSL.com OV сертификат за подписване на код на Windows 10
• Често задавани въпроси: Първи стъпки с вашия сертификат за подписване на EV код
• Регистрирайте се в програмата за разработчици на хардуер на Windows, за да подписвате драйвери с EV Code Signing
• Как да използвате вашия Сертификат за подписване на OV или EV код с SignTool на Microsoft и SSL.com SSL Manager

Първи стъпки с eSigner Cloud Code Signing

• Характеристики на услугата на eSigner
• Запишете се в eSigner
• Избор на абонамент за подпис
  • Ценообразуване на eSigner за подписване на код
  • Ценообразуване на eSigner за подписване на документи
  • Как да модифицирате ниво на eSigner

По-долу са дадени ресурси, които могат да ви предоставят повече информация за това как да използвате интерфейса на eSigner и да го настроите за екипно ориентирани задачи.

• Често задавани въпроси относно eSigner
• Как да прегледате и нулирате QR кода на eSigner или нулиране на ПИН кода
• Екипно споделяне за сертификати за подписване на документи за eSigner и EV код

Използване на вашите Yubikeys

Сертификатите като EV Code Signing, поръчани от SSL.com, идват с опцията да бъдат предварително инсталирани в хардуерен модул за сигурност (HSM) като USB токен за ключ за сигурност, валидиран по FIPS 140-2. Ако вашият сертификат все още не е валидиран, можете да включите броя на жетоните, които ви трябват, когато поръчвате и преди да завършите процеса на валидиране. В случай, че вашият сертификат вече е издаден, все още имате възможност да поръчате допълнителни токени. За да знаете как да добавите Yubikeys към вашия сертификат за подписване на EV код, щракнете върху това ръководство: Как да добавите YubiKeys към вашата поръчка на сертификат Ако вече имате Yubikey, можете да се обърнете към следните ръководства за това как да го използвате:

• Бързи инструкции на YubiKey
• Как да деблокирате ПИН кода на YubiKey
• Как да получите достъп до вашия PIN и PUK код на Yubikey FIPS
• Ами ако моят токен за подписване на EV код е празен?
• Как да инсталирате SSL.com основни и междинни сертификати на YubiKey
• Как да проведете генериране и атестиране на ключове с Yubikey

Автоматизация и интеграция

eSigner CKA (адаптер за облачен ключ)

•  eSigner CKA (адаптер за облачен ключ) е базирано на Windows приложение, което използва CNG интерфейса (KSP Key Service Provider), за да позволи на инструменти като certutil.exe и signtool.exe да използват eSigner CSC за автоматизирани операции по подписване на код. eSigner CKA действа като виртуален USB токен и зарежда сертификатите за подписване на код в хранилището за сертификати. 

eSigner и CodeSignTool за автоматично подписване на EV код

• CodeSignTool е идеален за автоматизирани пакетни процеси за подписване с голям обем или интегриране в съществуващи работни потоци на CI/CD конвейер.
• Прочетете нашия Ръководство за CodeSignTool за това как да подписвате кодови обекти, без да бъдете подканени за ръчно въвеждане на OTP за всеки файл.
• Началник към Ръководство за команди на инструмента eSigner CodeSign за да научите повече за поддържаните команди, опции и параметри.

Ръководства за интегриране на специфични CI/CD услуги

По-долу са конкретни ръководства за това как да автоматизирате подписването на код с помощта на eSigner за най-популярните CI/CD платформи.

• Интегриране на подписване на облачен код с CircleCI
• Интегриране на подписване на облачен код с GitHub Actions
• Интегриране на подписване на облачен код с GitLab CI
• Интегриране на подписване на облачен код с Travis CI
• Интеграция на подписване на облачен код с Jenkins CI
• Интегриране на подписване на облачен код с Azure DevOps

Научете повече за стойността на подписването на базиран в облак код, като прочетете нашата статия: Автоматизация на подписването на облачен код с CI/CD услуги.

Тестване на подписването на EV код в пясъчната среда

SSL.com поддържа отделна „пясъчна среда“ за нашата услуга за подписване в облак eSigner, така че потребителите да могат да експериментират с различните приложения, помощни програми и API, преди да работят с live Подписване на EV код сертификати.

• Обърнете се към нашия статия с инструкции която включва демонстрационни идентификационни данни на eSigner, QR кодове и информация за конфигурация, за да се улесни експерименталното използване на eSigner Express Sandbox, CodeSignTool, и CSC, Подписване на код.
• За пълно ръководство как да настроите акаунт в пясъчна среда, да създадете тестова поръчка и да използвате Sandbox с SWS API на SSL.com, можете да прочетете нашата статия от ръководството: Използване на SSL.com Sandbox за тестване и интеграция.

Ръководства за специфична среда

Сертификатите за EV Code Signing на SSL.com могат да се използват в различни среди за подписване на код. Вижте статиите по-долу за конкретни ръководства: 

• Подписване на вашия Java код със сертификат за подписване на OV/IV или EV код
• Подписване на драйвери в режим на ядро ​​за Windows с помощта на EV или OV сертификати за подписване на код
• Често задавани въпроси: Сертификати за подписване на код в режим на ядро
• Използване на Jsign от командния ред на Linux за подписване на OV/IV код и подписване на EV код
• Подписване на код с Azure DevOps, като се използва сертификат, съхранен в Azure Key Vault

Освен посочените по-горе, има още среди, с които сертификатите за подписване на код SSL.com са съвместими. Контакт support@ssl.com или използвайте чата на уебсайта за въпроси относно други среди.

Свържете се с отдела за продажби или се свържете с екипа за поддръжка

Ако имате нужда от някой, който да ви преведе през всички наши опции за подписване на код, да обсъди персонализирани интеграции, големи сделки, оферти или други персонализирани решения, винаги можете да се свържете с нашите екипи за продажби или поддръжка.

Форма за контакт