Co je certifikát pro podpis kódu?
Certifikát pro podepisování kódu je digitální certifikát, který poskytuje celosvětově uznávaný důkaz identity vydavatele softwaru a lze jej získat od renomované certifikační autority (CA), jako je SSL.com. Softwarové společnosti používají certifikáty pro podepisování kódu, aby poskytly důkaz, že jsou vývojáři aplikace. Certifikáty pro podepisování kódu také zabraňují manipulaci s kódem a zajišťují, že soubor neobsahuje neoprávněné úpravy, malware a je bezpečný pro instalaci. Certifikáty pro podepisování kódu jsou základní bezpečnostní funkcí při distribuci, prodeji a stahování softwaru online. Digitální podepisování kódu s důvěryhodnými certifikáty SSL.com umožňuje uživatelům a operačním systémům vědět, že váš software je autentický a jeho instalace je bezpečná. Vždy nás můžete kontaktovat prodejní tým vysvětlit tyto možnosti a poskytnout cenovou nabídku.Potřebujete certifikát pro podpis kódu? SSL.com nabízí možnosti, jak splnit jakékoli vaše potřeby, zjistěte více o našich certifikátech.
Výběr správného certifikátu pro podpis kódu
Certifikáty pro ověření organizace (OV) a individuální ověření (IV) se označují jako certifikáty High Assurance, protože vyžadují více ověření, a tím poskytují větší důvěru, . U certifikátů OV a IV CA ověří skutečnou organizaci nebo jednotlivou osobu, která se pokouší certifikát získat. V certifikátu je také uvedeno jméno organizace nebo jednotlivce, což zvyšuje důvěru, že držitel certifikátu je seriózní. Certifikáty OV často používají korporace, vlády a další subjekty, které chtějí svým návštěvníkům poskytnout další vrstvu důvěry. Kromě SSL/TLS certifikáty, OV a IV se také běžně používají pro podepisování kódu, podepisování dokumentů, autentizace klienta, a S/MIME e-mailové certifikáty. Další informace o požadavcích najdete na SSL.com Požadavky na OV a IV. Individual Validation (IV) Code Signing Certificate používá digitální podpisy s osobním jménem, ideální pro nezávislé vývojáře softwaru a individuální přispěvatele projektů, kteří chtějí zvýšit důvěru svých uživatelů. Certifikáty EV, známé také jako certifikáty pro podepisování podnikového kódu, poskytují návštěvníkům maximální důvěru a také vyžadují největší úsilí ze strany CA k ověření. Certifikáty EV mohou být vydány pouze podnikům a jiným registrovaným organizacím, nikoli jednotlivcům. Certifikáty pro podpis kódu EV pro výhradní vlastnictví SSL.com přidávají identitu jednotlivce ke standardnímu certifikátu pro podpis kódu EV. Tato možnost ověření umožňuje samostatnému vlastníkovi nebo individuálnímu přispěvateli zahrnout své jméno do digitálního podpisu. Možnost ověření výhradního vlastnictví je také pro podniky, které vyžadují další vrstvu zabezpečení zahrnutím ověřené identity jednotlivce do digitálního podpisu. Chcete-li se dozvědět více o funkcích těchto certifikátů, můžete si přečíst náš článek, Který certifikát podepisování kódu potřebuji? EV nebo OV? Na rychlý pohled jsou níže uvedeny definující vlastnosti certifikátů pro podpis kódu OV a EV.IV certifikát pro podpis kódu:
- Aplikuje digitální podpisy s osobním jménem
- Ideální pro nezávislé vývojáře softwaru a individuální přispěvatele projektů
Certifikát podpisu kódu OV:
- Ověří vaši identitu jako vydavatele softwaru
- Chrání váš software před manipulací a napadením škodlivým softwarem
Podpisový certifikát EV kódu:
- Schopnost podepsat ovladače pro starší verze než Windows 10 a Windows 10
- Okamžitá reputace Microsoft SmartScreen
- Nevypršení platnosti podpisu a časového razítka
- Možnost přihlásit se do cloudu pomocí eSigner
- Certifikáty pro podpis kódu EV pro výhradní vlastnictví přidávají identitu jednotlivce ke standardnímu certifikátu pro podpis kódu EV
Nastavení a používání vašeho účtu SSL.com
Pokud jste to ještě neudělali, začněte tím vytvoření účtu na SSL.com. Váš účet má schopnost vytvářet více týmů a také zvát více uživatelů se specifickými přiřazeními rolí a práv.Proces validace
Aby bylo možné ověřit a vydat certifikát OV nebo IV, musí SSL.com ověřit vaši identitu, fyzickou adresu a telefonní číslo prostřednictvím ověřitelných online zdrojů a/nebo platných ověřovacích dokumentů. Další podrobnosti o požadavcích si můžete přečíst Jaké jsou požadavky na certifikáty SSL.com OV a IV? Navíc u objednávek IV Code Signing Certificate budou žadatelé muset předložit přední a zadní obrázek průkazu totožnosti a obrázek, na kterém drží ID vedle obličeje. Podle pokynů stanovených fórem CA/Browser musí být k vydání certifikátu EV poskytnuta další dokumentace. Zamiřte k FAQ: Proces prodloužené validace (EV) znát všechny požadavky na EV certifikáty. Pro subjekty požadující Certifikáty EV Code Signing Certificates, SSL.com bude provádět ověření jak prostřednictvím důvěryhodných online zdrojů a/nebo platných dokumentů, tak i další dokumentace podle pokynů stanovených fórem CA/Browser.Nové požadavky na úložiště klíčů pro OV a IV Code Signing Certificates
Počínaje 1. červnem 2023 SSL.com Certifikáty pro podepisování kódu organizace (OV) a individuální ověření (IV) budou vydány pouze na USB tokenech Federal Information Processing Standard 140-2 (FIPS 140-2) nebo prostřednictvím naší cloudové služby pro podepisování kódu eSigner. Tato změna je v souladu s novými požadavky na úložiště klíčů Fóra certifikační autority/prohlížeče (CA/B), aby se zvýšila bezpečnost klíčů pro podepisování kódu. Předchozí pravidlo umožňovalo vydávat certifikáty pro podpis kódu OV a IV jako soubory ke stažení z internetu. Vzhledem k tomu, že nové požadavky povolují k uložení certifikátu a soukromého klíče pouze šifrované tokeny USB nebo cloudová hardwarová zařízení kompatibilní s FIPS, očekává se, že se výrazně sníží počet případů odcizení a zneužití klíčů pro podepisování kódu zákeřnými aktéry. Klikněte tento odkaz dozvědět se více o SSL.com Řešení cloudového podepisování kódu eSigner.Ukládání klíčů a metody podepisování pro certifikáty pro podepisování kódu s rozšířenou validací
USB token
Nejběžnějším přístupem k podepisování kódu EV je použití hardwarového bezpečnostního modulu (HSM), jako je USB token, který uchovává certifikát EV Code Signing a funguje jako klíč při podepisování softwarového kódu. Ve srovnání s uložením certifikátu na místním počítači má token USB dobré skóre v zabezpečení a přenosnosti kapesního počítače. Jedním omezením však je, že nákup a správa více tokenů může být poměrně drahé a ve srovnání s cloudovými možnostmi nejsou tak flexibilní. SSL.com poskytuje bezpečné úložiště soukromých klíčů a fyzické zabezpečení 2FA pomocí tokenu Yubikey FIPS USB. Toto zařízení USB přidává vašemu softwaru ochranu proti neoprávněné manipulaci, protože pouze ti jednotlivci, kteří jej skutečně vlastní, budou moci digitálně podepsat kód do vašich aplikací nebo programů.Cloud HSM
Druhou možností pro podepisování kódu EV je použití síťového HSM v cloudu k hostování certifikátů a klíčů pro podepisování kódu. Tato metoda nabízí srovnatelnou úroveň zabezpečení jako token USB, protože soukromé klíče také nelze exportovat. Protože podepisování kódu probíhá prostřednictvím cloudu, je dosaženo škálovatelné spolupráce mezi vývojáři. Je však třeba poznamenat, že tato metoda může vyžadovat odborné znalosti konkrétního poskytovatele cloudových služeb. Pro vydávání certifikátů pro podepisování kódu EV SSL.com podporuje tři Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM a Google Cloud HSM. Chcete-li získat další podrobnosti o každém z nich, můžete si přečíst náš článek průvodce: Podporované cloudové HSM pro podepisování dokumentů a podepisování kódů EV.- Chcete-li vědět, jak můžete používat svůj HSM účet a najmout si profesionála pro Cloud HSM Atestation, můžete si přečíst náš článek Přineste si vlastní atestaci auditora Cloud HSM.
- SSL.com v současné době vyvíjí a testuje atestační postupy pro širokou škálu platforem HSM. Můžete vyplnit toto poptávkový formulář abychom zjistili, zda testujeme platformu HSM, která nebyla uvedena výše.
eSigner: Podepisování kódu jako služba
Za třetí, moderní a velmi pohodlný přístup k podepisování kódu EV se zabývá podepisováním kódu jako službou. Příkladem této metody je cloudová služba pro podepisování kódu eSigner SSL.com. S eSignerem SSL.com zpracovává infrastrukturu veřejného klíče (PKI) a HSM pro podepisování kódu. Neexportovatelné podpisové klíče jsou uloženy v HSM eSigneru, kde je nemůže zobrazit ani zákazník, ani SSL.com. Tímto způsobem je standard zabezpečení stejně vysoký jako u tokenů a cloudových HSM, ale není nutné, aby se s nimi klient vypořádal přímo. Prostředí eSigner obsahuje řadu možností podepisování, které uspokojí potřeby různých zákazníků, od jednotlivých vývojářů až po složité organizace.Možnosti podepisování eSigner
- Se službou eSigner SSL.com můžete použít svůj certifikát SSL.com Extended Validation Code Signing Certificate k podepisování kódu z jakéhokoli zařízení připojeného k internetu bez dalšího hardwaru. Po zaregistrování objednávky certifikátu EV Code Signing do eSigner můžete podepsat kód buď pomocí Webová aplikace eSigner Express, Nástroj eSigner CodeSignTool nebo prostřednictvím CSC kompatibilního s SSL.com API pro podepisování kódu.
Typy souborů podporované eSignerem
- Můžete si přečíst našeho průvodce, Typy souborů podporované eSignerem, abyste věděli, které typy souborů jsou podporovány eSigner Express a eSigner API.
Začínáme s certifikátem pro podpis kódu:
Po obdržení nového certifikátu pro podpis kódu můžete mít otázky, jak jej používat a se kterými aplikacemi jej lze integrovat. Níže uvedené propojené příručky odpovídají na běžné otázky, které můžete mít ohledně toho, jak začít s novým certifikátem.- Jak koupit certifikáty Code Signing a EV Code Signing od SSL.com
- Jak nainstalovat certifikát pro podpis kódu OV SSL.com na Windows 10
- FAQ: Začínáme s certifikátem pro podepisování kódu EV
- Zaregistrujte se v programu Windows Hardware Developer Program a podepisujte ovladače pomocí EV Code Signing
- Jak používat svůj Certifikát pro podpis kódu OV nebo EV s Microsoft SignTool a SSL.com SSL Manager
Začínáme s cloudovým podepisováním kódu eSigner
- Funkce služby eSigner
- Zaregistrujte se do eSigneru
- Výběr podpisového předplatného
- Často kladené otázky o eSigner
- Jak zobrazit a resetovat QR kód eSigner nebo resetovat PIN
- Týmové sdílení dokumentů eSigner a certifikátů pro podepisování kódů EV
Používání vašich Yubikeys
Certifikáty jako EV Code Signing objednané z SSL.com jsou dodávány s možností předinstalovaného v hardwarovém bezpečnostním modulu (HSM), jako je USB token ověřený bezpečnostním klíčem FIPS 140-2. Pokud váš certifikát ještě nebyl ověřen, můžete při objednávce a před dokončením procesu ověření uvést požadovaný počet tokenů. V případě, že váš certifikát již byl vydán, stále máte možnost doobjednat tokeny. Chcete-li vědět, jak přidat Yubikeys do certifikátu EV Code Signing, klikněte na tuto příručku: Jak přidat YubiKeys do objednávky certifikátu Pokud již máte Yubikey, můžete se podívat na následující návody, jak jej ovládat:- Rychlé pokyny pro YubiKey
- Jak odblokovat YubiKey PIN
- Jak získat přístup k vašemu Yubikey FIPS PIN a PUK
- Co když je můj podpisový token kódu EV prázdný?
- Jak nainstalovat kořenové a zprostředkující certifikáty SSL.com na YubiKey
- Jak provádět generování klíčů a atestaci s Yubikey
Automatizace a integrace
eSigner CKA (Adaptér cloudového klíče)
- eSigner CKA (Adaptér cloudového klíče) je aplikace pro Windows, která využívá rozhraní CNG (KSP Key Service Provider), které umožňuje nástrojům jako certutil.exe a signtool.exe používat eSigner CSC pro automatizované operace podepisování kódu. eSigner CKA funguje jako virtuální USB token a načítá certifikáty pro podepisování kódu do úložiště certifikátů.
eSigner a CodeSignTool pro automatické podepisování kódu EV
- CodeSignTool je ideální pro automatizované dávkové procesy pro velkoobjemové podepisování nebo integraci do stávajících pracovních postupů CI/CD.
- Přečtěte si naše Průvodce CodeSignTool o tom, jak podepisovat objekty kódu, aniž byste byli vyzváni k ručnímu zadání OTP pro každý soubor.
- Překročte k Průvodce příkazy nástroje eSigner CodeSign Chcete-li se dozvědět více o podporovaných příkazech, volbách a parametrech.
Specifické průvodce integrací služeb CI/CD
Níže jsou uvedeny konkrétní návody, jak automatizovat podepisování kódu pomocí eSigner pro nejoblíbenější platformy CI/CD.- Integrace cloudového podepisování kódu s CircleCI
- Integrace cloudového podepisování kódu s akcemi GitHub
- Integrace cloudového kódového podpisu s GitLab CI
- Integrace cloudového podepisování kódu s Travis CI
- Integrace cloudového podepisování kódu s Jenkins CI
- Integrace cloudového podepisování kódu s Azure DevOps
Testování podepisování kódu EV v sandboxu
SSL.com udržuje samostatné „sandbox“ prostředí pro naši službu cloudového podepisování eSigner, takže uživatelé mohou experimentovat s různými aplikacemi, nástroji a rozhraními API, než budou pracovat s živými Podepisování kódu EV certifikáty.- Přejděte k našemu článek jak na to který zahrnuje demo přihlašovací údaje eSigner, QR kódy a konfigurační informace pro usnadnění experimentálního použití Sandbox eSigner Express, CodeSignTool, a CCS, Podepisování kódu.
- Úplný návod, jak nastavit účet sandbox, vytvořit testovací objednávku a používat Sandbox s SWS API SSL.com, si můžete přečíst v našem článku průvodce: Použití karantény SSL.com pro testování a integraci.
Specifické průvodce prostředím
Certifikáty EV Code Signing SSL.com lze použít v různých prostředích pro podepisování kódu. Konkrétní návody naleznete v článcích níže:- Podepisování kódu Java pomocí certifikátu pro podpis kódu OV/IV nebo EV
- Podepisování ovladačů v režimu jádra pro Windows pomocí certifikátů pro podpis kódu EV nebo OV
- FAQ: Certifikáty pro podpis kódu v režimu jádra
- Použití Jsign z příkazového řádku Linuxu pro podepisování kódu OV/IV a podepisování kódu EV
- Podepisování kódu pomocí Azure DevOps pomocí certifikátu uloženého v Azure Key Vault