Code Signing Certifikater, Cloud Signing muligheder og Signing Operations Integration

Hvad er et kodesigneringscertifikat?

Et kodesigneringscertifikat er et digitalt certifikat, der giver et globalt accepteret bevis på en softwareudgivers identitet og kan fås fra en offentligt betroet certifikatmyndighed (CA) som SSL.com. Softwarevirksomheder bruger kodesigneringscertifikater til at bevise, at de er udviklere af en applikation. 

Kodesigneringscertifikater forhindrer også manipulation af kode og sikrer, at en fil er fri for uautoriserede ændringer, malware og er sikker at installere. Kodesigneringscertifikater er en vigtig sikkerhedsfunktion, når software distribueres, sælges og downloades online.  Digital signering af din kode med pålidelige SSL.com-certifikater lader brugere og operativsystemer vide, at din software er autentisk og sikker at installere. Du kan altid kontakte vores salgsteam for at forklare disse muligheder og give et tilbud.

Valg af det rigtige kodesigneringscertifikat

Organisation Validation (OV) og Individual Validation (IV) certifikater omtales som High Assurance certifikater, fordi de kræver mere validering og dermed giver mere tillid, . For OV- og IV-certifikater vil CA verificere den faktiske organisation eller individuelle person, der forsøger at få certifikatet. Organisationens eller individets navn er også angivet i certifikatet, hvilket giver øget tillid til, at certifikatindehaveren er velrenommeret. OV-certifikater bruges ofte af virksomheder, regeringer og andre enheder, der ønsker at give deres besøgende et ekstra lag af tillid. Bortset fra SSL/TLS certifikater, OV og IV bruges også ofte til kodesignering, dokumentunderskrift, klientgodkendelseog S/MIME e-mail-certifikater. For mere information om krav, se venligst SSL.com's OV og IV krav. Individual Validation (IV) Code Signing Certificate anvender digitale signaturer med et personligt navn, perfekt til uafhængige softwareudviklere og individuelle projektbidragydere, der ønsker at øge tilliden og tilliden fra deres brugere.  EV-certifikater, også kendt som virksomhedskodesigneringscertifikater, giver den maksimale tillid til besøgende og kræver også den største indsats af CA for at validere. EV-certifikater må kun udstedes til virksomheder og andre registrerede organisationer, ikke til enkeltpersoner. SSL.com Eneeje EV-kodesigneringscertifikater tilføjer en persons identitet til standard EV-kodesigneringscertifikatet. Denne valideringsmulighed gør det muligt for en enkeltmandsvirksomhed eller individuel bidragyder at inkludere deres navn i den digitale signatur. Valgmuligheden for validering af enkeltmandsvirksomhed er også for virksomheder, der kræver et ekstra lag af sikkerhed ved at inkludere en persons validerede identitet i den digitale signatur. For at vide mere om funktionerne i disse certifikater, kan du læse vores artikel,  Hvilket kodesigneringscertifikat har jeg brug for? EV eller OV? Med et hurtigt blik er de definerende funktioner for OV- og EV-kodesigneringscertifikater anført nedenfor.

IV-kodesigneringscertifikat:

• Anvender digitale signaturer med et personligt navn
• Perfekt til uafhængige softwareudviklere og individuelle projektbidragydere

OV-kodesigneringscertifikat:

• Bekræfter din identitet som softwareudgiver
• Beskytter din software mod manipulation og malwareinfektion

EV-kode underskrivelsescertifikat:

• Mulighed for at signere både før-Windows 10 og Windows 10-drivere
• Øjeblikkelig Microsoft SmartScreen-omdømme
• Ikke-udløb af underskrift og tidsstempling
•  Mulighed for at logge på skyen ved hjælp af eSigner
• Enkeltmandsvirksomhed EV Code Signing Certifikater tilføjer en persons identitet til standard EV Code Signing Certificate

Opsætning og brug af din SSL.com-konto

Hvis du ikke allerede har gjort det, så start med oprettelse af en konto på SSL.com. Din konto har mulighed for at oprette flere teams samt invitere flere brugere med specifikke rolle- og rettighedstildelinger.

Valideringsprocessen

For at validere og udstede et OV- eller IV-certifikat skal SSL.com bekræfte din identitet, fysiske adresse og telefonnummer via verificerbare onlineressourcer og/eller gyldige verifikationsdokumenter. For yderligere detaljer om kravene kan du læse Hvad er kravene til SSL.com OV- og IV-certifikater?  Derudover skal ansøgere for ordrer på IV-kodesigneringscertifikater indsende et for- og bagbillede af et ID plus et billede af dem, der holder ID'et ved siden af ​​deres ansigt. I henhold til retningslinjer fastsat af CA/Browser Forum, skal der leveres ekstra dokumentation for at udstede et EV-certifikat. Gå over til FAQ: Process med udvidet validering (EV) at kende alle kravene til EV-certifikater. For enheder, der anmoder om EV Code Signing-certifikater, vil SSL.com udføre validering både gennem pålidelige onlineressourcer og/eller gyldige dokumenter samt ekstra dokumentation i henhold til retningslinjer fastsat af CA/Browser Forum.

Nye krav til nøgleopbevaring for OV- og IV-kodesigneringscertifikater

Fra 1. juni 2023, SSL.com 's Organization Validation (OV) og Individual Validation (IV) Code Signing Certifikater vil kun blive udstedt enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gennem vores eSigner cloud-kodesigneringstjeneste. Denne ændring er i overensstemmelse med Certificate Authority/Browser (CA/B) Forums nye nøglelagringskrav for at øge sikkerheden for kodesigneringsnøgler. Den tidligere regel tillod OV- og IV-kodesigneringscertifikater at blive udstedt som filer, der kunne downloades fra internettet. Da de nye krav kun tillader brug af krypterede USB-tokens eller cloud-baserede FIPS-kompatible hardwareapparater til at gemme certifikatet og den private nøgle, forventes det, at tilfælde af kodesigneringsnøgler, der bliver stjålet og misbrugt af ondsindede aktører, vil blive stærkt reduceret. Klik dette link at lære mere om SSL.com eSigner cloud-kodesigneringsløsning.

Nøgleopbevaring og signeringsmetoder for udvidede valideringskodesigneringscertifikater 

USB-token

SSL.com sender kodesigneringscertifikater, der er forudinstalleret på Yubikey FIPS-tokens og Thales SafeNet (Gemalto) USB-tokens. Thales SafeNet-tokens er udstyret til at håndtere RSA-nøgler op til 3072 bit, hvilket er afgørende for kernetilstandssignering og en forudsætning i visse softwareudviklingsmiljøer, såsom driversignering til Microsoft-systemer. Gennem en procedure kendt som fjernattestering kan kunder hos SSL.com, uanset deres placering, oprette et nøglepar direkte på deres YubiKey sammen med et attestationscertifikat, der bekræfter genereringen af ​​den private nøgle på enheden. Attestationscertifikatet kan efterfølgende bruges til at forny et udløbet certifikat, der er i Yubikey. Understøttelse af fjernattestering er en funktion, der i øjeblikket ikke er tilgængelig for Thales token-kunder. For en mere detaljeret sammenligning mellem funktionerne i Yubikeys og Thales SafeNet-tokens, se venligst denne SSL.com-artikel: Yubikey FIPS-tokens vs Thales/Gemalto USB-tokens. Både Yubikey- og Thales SafeNet-tokens er designet til at øge sikkerheden uden at gå på kompromis med brugeroplevelsen. Valget mellem dem bør styres af organisationens sikkerhedstilgang og operationelle behov. Men som fysiske enheder kan de mistes eller stjæles, hvilket udgør betydelige sikkerhedsrisici og potentielt medføre høje erstatningsomkostninger. I et moderne fjernarbejdsmiljø kan logistikken med at distribuere og vedligeholde disse hardware-tokens udgøre betydelige udfordringer for it-teams, hvilket kræver bemærkelsesværdige udgifter og arbejdskraft. Derudover tilbyder disse tokens ikke det samme niveau af bekvemmelighed som cloud-baserede løsninger, især for udviklere, der arbejder inden for en CI/CD-pipeline.

Cloud HSM

En anden mulighed for EV-kodesignering er at bruge en netværksforbundet HSM i skyen til at hoste kodesigneringscertifikater og -nøgler. Denne metode tilbyder et sammenligneligt sikkerhedsniveau som et USB-token, når HSM er konfigureret til at have ikke-eksporterbare nøgler under nøglegenereringen. Med nøglematerialet tilgængeligt i skyen bliver integration med CI/CD-tjenester nemmere, ligesom teamsamarbejde med det samme certifikat og nøglemateriale. Det skal bemærkes, at denne metode kan kræve ekspertise hos den bestemte cloud-tjenesteudbyder. Til udstedelse af kodesigneringscertifikater understøtter SSL.com forskellige Cloud HSM'er, herunder Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM og Google Cloud HSM. For at få flere detaljer om hver enkelt, kan du læse vores guide: Understøttede Cloud HSM'er til dokumentsignering og EV-kodesignering.

• For at vide, hvordan du kan bruge din HSM-konto og hyre en professionel til Cloud HSM Attestation, kan du læse vores artikel Medbring din egen Auditor Cloud HSM Attestation.
• SSL.com udvikler og tester i øjeblikket attesteringsprocedurer for en bred vifte af HSM-platforme. Du kan udfylde dette forespørgsel formular for at finde ud af, om vi tester en HSM-platform, der ikke var nævnt ovenfor.

eSigner: Kodesignering som en tjeneste

For det tredje er en moderne og meget bekvem tilgang til EV Code Signing at beskæftige sig med kodesignering som en tjeneste. SSL.coms eSigner cloud-kodesigneringstjeneste er et eksempel på denne metode.  Med eSigner håndterer SSL.com både den offentlige nøgleinfrastruktur (PKI) og HSM'er til kodesignering. De ikke-eksporterbare signaturnøgler er gemt i eSigners HSM'er, hvor hverken kunden eller SSL.com kan se dem. På denne måde er sikkerhedsstandarden lige så høj som med tokens og cloud-HSM'er, men der er ikke behov for, at klienten håndterer dem direkte. ESigner-miljøet inkluderer en række signeringsmuligheder for at imødekomme behovene hos en række kunder, fra individuelle udviklere til komplekse organisationer.

eSigner-signeringsmuligheder

• Med SSL.coms eSigner-tjeneste kan du bruge dit SSL.com Extended Validation Code Signing-certifikat til at signere kode fra enhver internetforbundet enhed uden yderligere hardware. Efter at have tilmeldt din EV Code Signing-certifikatordre i eSigner, kan du signere kode med enten eSigner Express web-app, eSigner CodeSignTool eller gennem SSL.com's CSC-kompatible kodesignerings-API. 

eSigner-understøttede filtyper

• Du kan læse vores guide, eSigner-understøttede filtyper, for at vide, hvilke filtyper der understøttes af eSigner Express og eSigner API.

Kom godt i gang med dit kodesigneringscertifikat:

Når du har modtaget dit nye kodesigneringscertifikat, kan du have spørgsmål om, hvordan du bruger det, og hvilke applikationer det kan integreres med. De linkede guider nedenfor besvarer almindelige spørgsmål, du måtte have om, hvordan du kommer i gang med dit nye certifikat.

• Sådan køber du kodesignerings- og EV-kodesigneringscertifikater fra SSL.com
• Sådan installeres et SSL.com OV-kodesigneringscertifikat på Windows 10
• FAQ: Kom godt i gang med dit EV-kodesigneringscertifikat
• Tilmeld dig med Windows Hardware Developer Program for at signere drivere med EV Code Signing
• Sådan bruges dit OV- eller EV-kodesigneringscertifikat med Microsofts SignTool og SSL.com SSL Manager

Kom godt i gang med eSigner Cloud Code Signing

• Servicefunktioner i eSigner
• Tilmeld dig eSigner
• Valg af signaturabonnement
  • eSigner-priser for kodesignering
  • eSigner-priser for dokumentsignering
  • Sådan ændres eSigner Tier

Nedenfor er der ressourcer, der kan give dig mere information om, hvordan du bruger eSigners grænseflade og sætter den op til teamorienterede opgaver.

• Ofte stillede spørgsmål om eSigner
• Sådan får du vist og nulstiller eSigner QR-kode eller nulstiller PIN-kode
• Teamdeling til eSigner-dokument og EV-kodesigneringscertifikater

Brug af dine Yubikeys

Certifikater som EV Code Signing bestilt fra SSL.com kommer med mulighed for at komme forudinstalleret i et Hardware Security Module (HSM) som en FIPS 140-2 valideret sikkerhedsnøgle USB token. Hvis dit certifikat endnu ikke er blevet valideret, kan du inkludere det antal tokens, du har brug for, når du bestiller og før du gennemfører valideringsprocessen. Hvis dit certifikat allerede er udstedt, har du stadig mulighed for at bestille yderligere poletter. For at vide, hvordan du tilføjer Yubikeys til dit EV Code Signing-certifikat, skal du klikke på denne guide: Sådan tilføjer du YubiKeys til din certifikatordre Hvis du allerede har en Yubikey, kan du se følgende vejledninger om, hvordan du betjener den:

• YubiKey hurtige instruktioner
• Sådan fjerner du blokering af YubiKey PIN
• Sådan får du adgang til din Yubikey FIPS PIN og PUK
• Hvad hvis mit EV Code Signing Token er tomt?
• Sådan installeres SSL.com-rod- og mellemcertifikater på YubiKey
• Sådan udfører du nøglegenerering og attestation med Yubikey

Automatisering og integration

eSigner CKA (Cloud Key Adapter)

•  eSigner CKA (Cloud Key Adapter) er en Windows-baseret applikation, der bruger CNG-grænsefladen (KSP Key Service Provider) til at tillade værktøjer som certutil.exe og signtool.exe at bruge eSigner CSC til automatiserede kodesigneringsoperationer. eSigner CKA fungerer som et virtuelt USB-token og indlæser kodesigneringscertifikaterne til certifikatlageret. 

eSigner og CodeSignTool til automatiseret EV-kodesignering

• CodeSignTool er ideel til automatiserede batch-processer til signering af store mængder eller integration i eksisterende CI/CD-pipeline-arbejdsgange.
• Læs vores CodeSignTool guide om, hvordan man signerer kodeobjekter uden at blive bedt om manuel OTP-indtastning for hver fil.
• Smut over til Kommandovejledning til eSigner CodeSign Tool at vide mere om understøttede kommandoer, muligheder og parametre.

Specifikke CI/CD-serviceintegrationsvejledninger

Nedenfor er specifikke vejledninger til, hvordan man automatiserer kodesignering ved hjælp af eSigner til de mest populære CI/CD-platforme.

• Cloud Code Signing-integration med CircleCI
• Cloud Code Signing-integration med GitHub Actions
• Cloud Code Signing-integration med GitLab CI
• Cloud Code Signing-integration med Travis CI
• Cloud Code Signing-integration med Jenkins CI
• Cloud Code Signing-integration med Azure DevOps
• Cloud Code Signing-integration med BitBucket

Lær mere om værdien af ​​cloud-baseret kodesignering ved at læse vores artikel: Cloud Code Signing Automation med CI/CD-tjenester.

Test af EV-kodesignering i sandkassen

SSL.com opretholder et separat "sandbox"-miljø for vores eSigner cloud-signeringstjeneste, så brugere kan eksperimentere med de forskellige apps, hjælpeprogrammer og API'er, før de arbejder med live EV-kode underskrift certifikater. <ul>

Gå over til vores hvordan man gør en artikel som inkluderer eSigner demo-legitimationsoplysninger, QR-koder og konfigurationsoplysninger for at lette eksperimentel brug af eSigner Express sandkasse, KodeSignToolog CSC, Kodesignering.

For en komplet guide til, hvordan du opretter en sandbox-konto, opretter en testordre og bruger Sandbox med SSL.com's SWS API, kan du læse vores guideartikel: Brug af SSL.com Sandbox til test og integration.

Specifikke miljøvejledninger

SSL.com's EV Code Signing-certifikater kan bruges i forskellige kodesigneringsmiljøer. Se artiklerne nedenfor for specifikke vejledninger: 

• Signering af din Java-kode med et OV/IV- eller EV-kodesigneringscertifikat
• Signering af Kernel-Mode-drivere til Windows ved hjælp af EV- eller OV-kodesigneringscertifikater
• FAQ: Kernel-mode kodesigneringscertifikater
• Brug af Jsign fra Linux-kommandolinjen til OV/IV-kodesignering og EV-kodesignering
• Kodesignering med Azure DevOps ved hjælp af et certifikat, der er gemt i Azure Key Vault

Ud over dem, der er angivet ovenfor, er der flere miljøer, som SSL.com-kodesigneringscertifikater er kompatible med. Kontakt support@ssl.com eller brug hjemmesidechatten til spørgsmål om andre miljøer.
 

Kontakt SSL.com salgsteam

Hvis du har brug for nogen til at lede dig gennem alle vores kodesigneringsmuligheder, diskutere tilpassede integrationer, højvolumenaftaler, tilbud eller andre tilpassede løsninger, kan du altid kontakte vores salgsteam på sales@ssl.com eller udfylde formularen nedenfor.