Code Signing-Zertifikate, Cloud Signing-Optionen und Integration von Signing Operations

Was ist ein Codesignaturzertifikat?

Ein Codesignaturzertifikat ist ein digitales Zertifikat, das einen weltweit anerkannten Identitätsnachweis eines Softwareherausgebers bietet und von einer angesehenen Zertifizierungsstelle (CA) wie SSL.com erhältlich ist. Softwareunternehmen verwenden Code-Signing-Zertifikate, um nachzuweisen, dass sie die Entwickler einer Anwendung sind. 

Code Signing-Zertifikate verhindern auch die Manipulation von Code und stellen sicher, dass eine Datei frei von nicht autorisierten Änderungen, Malware und sicher zu installieren ist. Codesignaturzertifikate sind ein wesentliches Sicherheitsmerkmal, wenn Software online verteilt, verkauft und heruntergeladen wird.  Code digital signieren mit vertrauenswürdigen SSL.com-Zertifikaten lässt Benutzer und Betriebssysteme wissen, dass Ihre Software authentisch und sicher zu installieren ist. Sie können sich jederzeit an unsere wenden Vertriebsteam um diese Optionen zu erläutern und ein Angebot zu unterbreiten.
Benötigen Sie ein Codesignatur-Zertifikat? SSL.com hat Optionen, um alle Ihre Anforderungen zu erfüllen, Erfahren Sie mehr über unsere Zertifikate.

Auswahl des richtigen Code Signing-Zertifikats

Organization Validation (OV)- und Individual Validation (IV)-Zertifikate werden als High Assurance-Zertifikate bezeichnet, da sie mehr Validierung erfordern und somit mehr Vertrauen schaffen, . Bei OV- und IV-Zertifikaten überprüft die Zertifizierungsstelle die tatsächliche Organisation oder Einzelperson, die versucht, das Zertifikat zu erhalten. Der Name der Organisation oder Person wird ebenfalls im Zertifikat aufgeführt, was zusätzliches Vertrauen in die Seriosität des Zertifikatsinhabers gibt. OV-Zertifikate werden häufig von Unternehmen, Regierungen und anderen Einrichtungen verwendet, die ihren Besuchern eine zusätzliche Vertrauensebene bieten möchten. Abgesehen von SSL/TLS Zertifikate, OV und IV werden ebenfalls häufig für verwendet Codesignatur, Signieren von Dokumenten, Client-Authentifizierung und S/MIME E-Mail-Zertifikate. Weitere Informationen zu den Anforderungen finden Sie unter SSL.com OV- und IV-Anforderungen. Das Individual Validation (IV) Code Signing Certificate wendet digitale Signaturen mit einem persönlichen Namen an, perfekt für unabhängige Softwareentwickler und einzelne Projektmitarbeiter, die das Vertrauen ihrer Benutzer stärken möchten.  EV-Zertifikate, auch bekannt als Code-Signing-Zertifikate für Unternehmen, bieten den Besuchern das größtmögliche Maß an Vertrauen und erfordern auch den größten Aufwand durch die Zertifizierungsstelle zur Validierung. EV-Zertifikate dürfen nur an Unternehmen und andere registrierte Organisationen ausgestellt werden, nicht an Einzelpersonen. SSL.com Sole Proprietorship EV Code Signing-Zertifikate fügen dem standardmäßigen EV Code Signing-Zertifikat die Identität einer Einzelperson hinzu. Diese Validierungsoption ermöglicht es Einzelunternehmen oder einzelnen Mitwirkenden, ihren Namen in die digitale Signatur aufzunehmen. Die Einzelunternehmens-Validierungsoption ist auch für Unternehmen gedacht, die eine zusätzliche Sicherheitsebene benötigen, indem sie die validierte Identität einer Person in die digitale Signatur aufnehmen. Um mehr über die Funktionen dieser Zertifikate zu erfahren, können Sie unseren Artikel lesen,  Welches Codesignaturzertifikat benötige ich? EV oder OV? Auf einen kurzen Blick sind die charakteristischen Merkmale von OV- und EV-Codesignaturzertifikaten unten aufgeführt.

IV Code Signing-Zertifikat:

  • Wendet digitale Signaturen mit einem persönlichen Namen an
  • Perfekt für unabhängige Softwareentwickler und einzelne Projektmitarbeiter

OV Code Signing-Zertifikat:

  • Verifiziert Ihre Identität als Softwareherausgeber
  • Schützt Ihre Software vor Manipulationen und Malware-Infektionen

EV-Code-Signaturzertifikat:

  • Möglichkeit, sowohl Pre-Windows 10- als auch Windows 10-Treiber zu signieren
  • Sofortige Microsoft SmartScreen-Reputation
  • Nichtablauf von Signatur und Zeitstempel
  •  Möglichkeit, sich mit eSigner in der Cloud anzumelden
  • EV Code Signing-Zertifikate für Einzelunternehmen fügen dem standardmäßigen EV Code Signing-Zertifikat die Identität einer Einzelperson hinzu

Einrichten und Verwenden Ihres SSL.com-Kontos

Wenn Sie es noch nicht getan haben, beginnen Sie mit Erstellen eines Kontos auf SSL.com. Ihr Konto kann mehrere Teams erstellen und mehrere Benutzer mit bestimmten Rollen- und Rechtezuweisungen einladen.

Der Validierungsprozess

Um ein OV- oder IV-Zertifikat zu validieren und auszustellen, muss SSL.com Ihre Identität, physische Adresse und Telefonnummer über verifizierbare Online-Ressourcen und/oder gültige Verifizierungsdokumente verifizieren. Weitere Einzelheiten zu den Anforderungen finden Sie unter Was sind die Anforderungen für SSL.com OV- und IV-Zertifikate?  Zusätzlich müssen Antragsteller für IV Code Signing Certificate-Bestellungen ein Vorder- und Rückseitenbild eines Ausweises sowie ein Bild von ihm einreichen, der den Ausweis neben seinem Gesicht hält. Gemäß den vom CA/Browser-Forum festgelegten Richtlinien müssen zusätzliche Unterlagen bereitgestellt werden, um ein EV-Zertifikat auszustellen. Geh 'rüber zu FAQ: Extended Validation (EV) -Prozess um alle Anforderungen für EV-Zertifikate zu kennen. Für anfragende Stellen EV Code Signing Certificates führt SSL.com die Validierung sowohl durch vertrauenswürdige Online-Ressourcen und/oder gültige Dokumente als auch durch zusätzliche Dokumentation gemäß den vom CA/Browser Forum festgelegten Richtlinien durch.  

Neue Schlüsselspeicheranforderungen für OV- und IV-Code Signing-Zertifikate

Ab dem 1. Juni 2023, SSL.com Die Code Signing-Zertifikate Organization Validation (OV) und Individual Validation (IV) von werden nur entweder auf USB-Tokens gemäß Federal Information Processing Standard 140-2 (FIPS 140-2) oder über unseren Cloud-Code Signing-Service eSigner ausgestellt. Diese Änderung steht im Einklang mit den neuen Schlüsselspeicheranforderungen des Certificate Authority/Browser (CA/B) Forums, um die Sicherheit für Codesignaturschlüssel zu erhöhen. Die vorherige Regelung erlaubte die Ausstellung von OV- und IV-Codesignaturzertifikaten als herunterladbare Dateien aus dem Internet. Da die neuen Anforderungen nur die Verwendung verschlüsselter USB-Tokens oder Cloud-basierter FIPS-kompatibler Hardwaregeräte zum Speichern des Zertifikats und des privaten Schlüssels zulassen, wird erwartet, dass die Fälle von Diebstahl und Missbrauch von Codesignaturschlüsseln durch böswillige Akteure erheblich reduziert werden. Klicken  diesen Link um mehr über das zu erfahren SSL.com eSigner-Cloud-Code-Signatur-Lösung.

Schlüsselspeicherung und Signaturmethoden für Code Signing-Zertifikate mit erweiterter Validierung 

USB-Token

Der gebräuchlichste Ansatz für die EV-Codesignatur ist die Verwendung eines Hardware-Sicherheitsmoduls (HSM) wie eines USB-Tokens, das das EV-Code-Signaturzertifikat speichert und wie ein Schlüssel beim Signieren von Softwarecode fungiert. Im Vergleich zur Speicherung des Zertifikats auf einem lokalen Computer schneidet ein USB-Token in Bezug auf Handheld-Sicherheit und Portabilität gut ab. Eine Einschränkung besteht jedoch darin, dass es ziemlich teuer sein kann, mehrere Token zu kaufen und zu verwalten, und dass sie im Vergleich zu Cloud-basierten Optionen nicht so flexibel sind.  SSL.com bietet sichere Speicherung privater Schlüssel und physische 2FA-Sicherheit mit einem Yubikey FIPS USB-Token. Dieses USB-Gerät fügt Ihrer Software einen Manipulationsschutz hinzu, da nur diejenigen Personen, die es tatsächlich besitzen, berechtigt sind, einen Code für Ihre Anwendungen oder Programme digital zu signieren.

Cloud-HSM

Eine zweite Option für die EV-Code-Signierung ist die Verwendung eines vernetzten HSM in der Cloud, um Code-Signing-Zertifikate und -Schlüssel zu hosten. Dieses Verfahren bietet eine vergleichbare Sicherheit wie ein USB-Token, da die privaten Schlüssel ebenfalls nicht exportierbar sind. Da die Codesignierung über die Cloud erfolgt, wird eine skalierbare Zusammenarbeit zwischen Entwicklern erreicht. Es sollte jedoch beachtet werden, dass diese Methode möglicherweise Fachwissen mit dem jeweiligen Cloud-Service-Anbieter erfordert. Für die Ausstellung von EV-Codesignaturzertifikaten unterstützt SSL.com drei Cloud-HSMs: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM und Google Cloud HSM. Um mehr Details zu jedem einzelnen zu erfahren, können Sie unseren Leitartikel lesen: Unterstützte Cloud-HSMs für die Signatur von Dokumenten und EV-Code.
  • Um zu erfahren, wie Sie Ihr HSM-Konto verwenden und einen Experten für die Cloud HSM-Bestätigung beauftragen können, können Sie unseren Artikel lesen Bringen Sie Ihre eigene Auditor Cloud HSM-Bescheinigung mit.
  • SSL.com entwickelt und testet derzeit Beglaubigungsverfahren für eine Vielzahl von HSM-Plattformen. Diesen können Sie ausfüllen Anfrageformular um herauszufinden, ob wir eine HSM-Plattform testen, die oben nicht aufgeführt ist.

eSigner: Code Signing als Service

Drittens ist Code Signing as a Service ein moderner und sehr bequemer Ansatz für EV Code Signing. Der eSigner Cloud Code Signing Service von SSL.com ist ein Beispiel für diese Methode.  Mit eSigner verwaltet SSL.com sowohl die Public-Key-Infrastruktur (PKI) und HSMs für Code Signing. Die nicht exportierbaren Signaturschlüssel werden in den HSMs von eSigner gespeichert, wo weder der Kunde noch SSL.com sie einsehen können. Auf diese Weise ist der Sicherheitsstandard ähnlich hoch wie bei Tokens und Cloud-HSMs, aber der Kunde muss sich nicht direkt damit befassen. Die eSigner-Umgebung umfasst eine Reihe von Signaturoptionen, um den Anforderungen einer Vielzahl von Kunden gerecht zu werden, von einzelnen Entwicklern bis hin zu komplexen Organisationen.

eSigner-Signaturoptionen

  • Mit dem eSigner-Service von SSL.com können Sie Ihr SSL.com Extended Validation Code Signing-Zertifikat verwenden, um Code von jedem mit dem Internet verbundenen Gerät ohne zusätzliche Hardware zu signieren. Nachdem Sie Ihre EV Code Signing-Zertifikatsbestellung in eSigner registriert haben, können Sie den Code entweder mit dem signieren eSigner Express-Web-App, eSigner CodeSignTool oder über CSC-konform von SSL.com Codesignatur-API

Von eSigner unterstützte Dateitypen

Erste Schritte mit Ihrem Code Signing-Zertifikat:

Nach Erhalt Ihres neuen Code Signing-Zertifikats haben Sie möglicherweise Fragen zur Verwendung und zu den Anwendungen, in die es integriert werden kann. Die unten verlinkten Leitfäden beantworten häufige Fragen, die Sie möglicherweise zu den ersten Schritten mit Ihrem neuen Zertifikat haben.

Erste Schritte mit eSigner Cloud Code Signing

Nachfolgend finden Sie Ressourcen, die Ihnen weitere Informationen zur Verwendung der Benutzeroberfläche von eSigner und zur Einrichtung für teamorientierte Aufgaben geben können.

Verwendung Ihrer Yubikeys

Zertifikate wie EV Code Signing, die bei SSL.com bestellt werden, sind optional in einem Hardware-Sicherheitsmodul (HSM) wie einem FIPS 140-2-validierten Sicherheitsschlüssel-USB-Token vorinstalliert. Wenn Ihr Zertifikat noch nicht validiert wurde, können Sie die Anzahl der benötigten Tokens bei der Bestellung und vor Abschluss des Validierungsprozesses angeben. Falls Ihr Zertifikat bereits ausgestellt wurde, haben Sie noch die Möglichkeit, weitere Tokens zu bestellen. Um zu erfahren, wie Sie Yubikeys zu Ihrem EV Code Signing-Zertifikat hinzufügen können, klicken Sie auf diese Anleitung: So fügen Sie Ihrer Zertifikatsbestellung YubiKeys hinzu Wenn Sie bereits ein Yubikey haben, können Sie sich auf die folgenden Anleitungen zur Bedienung beziehen:

Automatisierung und Integration

eSigner CKA (Cloud Key Adapter)

  •  eSigner CKA (Cloud Key Adapter) ist eine Windows-basierte Anwendung, die die CNG-Schnittstelle (KSP Key Service Provider) verwendet, um Tools wie certutil.exe und signtool.exe zu ermöglichen, den eSigner CSC für automatisierte Codesignaturvorgänge zu verwenden. eSigner CKA verhält sich wie ein virtueller USB-Token und lädt die Codesignatur-Zertifikate in den Zertifikatsspeicher. 

eSigner und CodeSignTool für automatisierte EV-Code-Signierung

  • CodeSignTool ist ideal für automatisierte Batch-Prozesse für Signaturen mit hohem Volumen oder die Integration in bestehende CI/CD-Pipeline-Workflows.
  • Lesen Sie unsere CodeSignTool-Leitfaden Informationen zum Signieren von Code-Objekten, ohne zur manuellen OTP-Eingabe für jede Datei aufgefordert zu werden.
  • Gehen Sie zu eSigner CodeSign Tool-Befehlsleitfaden um mehr über unterstützte Befehle, Optionen und Parameter zu erfahren.

Spezifische CI/CD-Service-Integrationsleitfäden

Nachfolgend finden Sie spezifische Anleitungen zur Automatisierung der Code-Signierung mit eSigner für die gängigsten CI/CD-Plattformen. Erfahren Sie mehr über den Wert von Cloud-basierter Codesignatur, indem Sie unseren Artikel lesen: Cloud Code Signing-Automatisierung mit CI/CD-Diensten.

Testen von EV Code Signing in der Sandbox

SSL.com unterhält eine separate „Sandbox“-Umgebung für unseren eSigner-Cloud-Signaturdienst, damit Benutzer mit den verschiedenen Apps, Dienstprogrammen und APIs experimentieren können, bevor sie mit Live arbeiten EV-Code-Signierung Zertifikate.

Spezifische Umgebungsleitfäden

Die EV Code Signing-Zertifikate von SSL.com können in verschiedenen Code-Signing-Umgebungen verwendet werden. In den folgenden Artikeln finden Sie spezifische Anleitungen:  Abgesehen von den oben angegebenen gibt es weitere Umgebungen, mit denen SSL.com-Codesignaturzertifikate kompatibel sind. Kontakt support@ssl.com oder verwenden Sie den Website-Chat für Fragen zu anderen Umgebungen.

Wenden Sie sich an den Vertrieb oder an den Support

Wenn Sie jemanden brauchen, der Sie durch alle unsere Code Signing-Optionen führt, benutzerdefinierte Integrationen, großvolumige Geschäfte, Angebote oder andere benutzerdefinierte Lösungen bespricht, können Sie sich jederzeit an unsere Vertriebs- oder Supportteams wenden.

Kontaktformular

Twitter
Facebook
LinkedIn
Reddit
E-Mail

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.