Zertifizierungsstellen wie SSL.com haben kürzlich die Schlüsselspeicherstandards für Code Signing-Zertifikate verschärft und schreiben nun die Speicherung des privaten Schlüssels des Zertifikats entweder auf einem physischen USB-Token oder auf einem kompatiblen Hardware-Sicherheitsmodul (HSM) vor.
Seit dem 1. Juni 2023 werden alle Code Signing-Zertifikate von SSL.com nicht mehr als herunterladbare PFX-Dateien ausgegeben. Diese Änderung steht im Einklang mit den Empfehlungen des CA/B-Forums (Certification Authority/Browser). neue Schlüsselspeicheranforderungen um die Sicherheit von Codesignaturschlüsseln zu erhöhen. Die vorherige Regel ermöglichte die Ausgabe von Code Signing-Zertifikaten für Organisationsvalidierung (OV) und Einzelvalidierung (IV) als herunterladbare Dateien. Da die neuen Anforderungen nur die Verwendung verschlüsselter USB-Tokens oder Cloud-basierter FIPS-kompatibler Hardwaregeräte zum Speichern des Zertifikats und des privaten Schlüssels zulassen, wird erwartet, dass die Fälle von Diebstahl und Missbrauch von Codesignaturschlüsseln durch böswillige Akteure erheblich reduziert werden.
Während die Verwendung von USB-Tokens Herausforderungen bei der Integration mit modernen CI/CD-Pipelines mit sich bringt und die Verwaltung eines physischen HSM im Büro umständlich sein kann, gibt es eine effiziente Alternative. Google Cloud bietet eine praktische Lösung: die Anmietung eines einzelnen Schlüsselslots für seinen HSM-Dienst. Dieser Ansatz ist nicht nur kostengünstig, sondern entspricht auch den neuesten Compliance-Standards FIPS 140-2 Level 2 und macht gleichzeitig die Notwendigkeit einer physischen Geräteverwaltung überflüssig. Dieser Artikel führt Sie durch den Einrichtungsprozess dieser Mittellösung.
Die EV-Code-Signing-Zertifikate von SSL.com werden weltweit als vertrauenswürdig eingestuft, wenn es darum geht, Softwarecode digital zu signieren mit sicheren digitalen Signaturen.
Den Code-Signing-Prozess mit einem cloudbasierten HSM verstehen
Um das Wesentliche des Codesignaturverfahrens mithilfe eines cloudbasierten Hardware-Sicherheitsmoduls (HSM) zu verstehen, ist es hilfreich, die folgenden Komponenten zu untersuchen:- Code Signing-Zertifikat: Ein von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestelltes digitales Zertifikat, das Softwareentwickler zum digitalen Signieren ihrer Software, Skripts und ausführbaren Dateien verwenden. Dieses Zertifikat dient als digitale Signatur, die die Identität des Entwicklers oder Herausgebers überprüft und sicherstellt, dass der Code seit seiner ursprünglichen Signatur nicht verändert oder kompromittiert wurde.
- Google Cloud: Bietet Dienste, die eine sichere Softwareentwicklung und -bereitstellung unterstützen, einschließlich Infrastruktur für die sichere Generierung und Verwaltung kryptografischer Schlüssel, die im Codesignaturprozess verwendet werden.
- Google Cloud HSM für den Schlüsselschutz: Ein robustes Hardware-Sicherheitsmodul, das in der Infrastruktur von Google Cloud untergebracht ist und dazu dient, Ihren privaten Schlüssel vor unbefugtem Zugriff zu schützen.
- Signierungstool: Eine Softwareanwendung oder ein Dienstprogramm zum digitalen Signieren von Softwareprogrammen und -anwendungen. Diese digitale Signatur versichert dem Endbenutzer, dass die Software seit der Signatur durch den Entwickler oder Herausgeber nicht verändert oder kompromittiert wurde.
- Time Stamping Authority (TSA): ein vertrauenswürdiger Drittanbieterdienst, der normalerweise von Ihrer Zertifizierungsstelle (CA) verwaltet wird und dessen Aufgabe darin besteht, nachzuweisen, dass der Code während der Gültigkeitsdauer des zum Signieren verwendeten digitalen Zertifikats signiert wurde, auch wenn das Zertifikat nicht gültig ist später abläuft oder widerrufen wird.
Registrieren eines Google Cloud-Kontos
Der erste Schritt bei der Konfiguration Ihres Setups besteht in der Einrichtung eines Kontos bei Google Cloud Platform. Sobald Ihr Konto aktiv ist, müssen Sie ein neues Projekt erstellen und Abrechnung aktivieren. Die Angabe Ihrer Zahlungsinformationen ist erforderlich, um mit der Einrichtung fortfahren zu können.Generieren Sie Ihr Schlüsselpaar, CSRund Bescheinigungserklärung
Vor der Ausstellung von Codesignaturen oder von Adobe vertrauenswürdigen Dokumentsignaturzertifikaten benötigt SSL.com eine Bestätigung, dass der private Signaturschlüssel des Kunden auf einem nach FIPS 140-2 Level 2 (oder höher) zertifizierten Gerät generiert wurde und sicher darin enthalten ist. Dieses Gerät stellt sicher, dass der Schlüssel nicht extrahiert werden kann. Die Überprüfung dieses Schutzes wird als Bescheinigung bezeichnet. Das Cloud HSM von Google ist in der Lage, unter Verwendung von von Marvell (ehemals Cavium) hergestellten Geräten signierte Bescheinigungserklärungen für kryptografische Schlüssel zu generieren. SSL.com kann diese Aussagen vor der Ausstellung von Dokumentsignatur- oder Code-Signing-Zertifikaten validieren. Anleitungen zum Generieren Ihres Schlüsselpaars und Ihrer Bescheinigungserklärung finden Sie in der Cloud Key Management-Dokumentation von Google: Sobald Sie Ihr Schlüsselpaar haben, CSR, und die Bescheinigungserklärung bereit ist, senden Sie sie zur Überprüfung und Zertifikatsausstellung an SSL.com. Der Open-Source-Tool von GitHub-Benutzer Mattes zum Erstellen eines CSR und das Signieren mit einem privaten Schlüssel von Google Cloud HSM kann besonders nützlich sein. SSL.com erhebt eine Gebühr von 500.00 USD für die Google Cloud HSM-Bescheinigung. Darüber hinaus bieten wir verschiedene Preisstufen für Zertifikate an, die auf Cloud-HSM-Plattformen verwendet werden, abhängig von der jährlichen maximalen Anzahl an Signaturvorgängen. Detaillierte Preisinformationen finden Sie in unserer Cloud HSM-Preisstufen -Guide. Bescheinigungen können mit durchgeführt werden BYOA (Bring Your Own Auditor)-Methode, wenn sich ein HSM-Besitzer für die Bescheinigung der Schlüsselgenerierung ohne die Dienste von SSL.com entscheidet. Diese Methode ist für jede Key Generation Ceremony (KGC) eines kompatiblen HSM anwendbar, auch für solche, die nicht durch die Bescheinigung von SSL.com abgedeckt sind. BYOA erfordert eine sorgfältige Vorbereitung, um das Risiko einer Schlüsselablehnung zu vermeiden. Solche Probleme erfordern eine Wiederholung der Zeremonie, was zusätzliche Kosten und Verzögerungen mit sich bringt. Um diesen Problemen vorzubeugen, betreuen die Kundensupport- und Validierungsspezialisten von SSL.com Kunden proaktiv vor dem KGC.Bestellen Sie Ihr Code Signing-Zertifikat
Alle Code Signing-Zertifikate von SSL.com können mit einer Laufzeit von 1 bis 3 Jahren erworben werden, mit Rabatten für längere Laufzeiten sowie dem Komfort, dass bei Zertifikaten mit längerer Laufzeit nur einmal ein Validierungsprozess durchgeführt werden muss. Im folgenden verlinkten Artikel erfahren Sie, wie Sie ein Codesignaturzertifikat bestellen und durch diese Optionen navigieren: Bestellvorgang für Code- und Dokumentensignaturzertifikate. Für individuelle Lösungen, Mengenrabatte, externe HSM-Optionen, offizielle Angebote oder andere Beratung wenden Sie sich bitte an sales@ssl.com.Durchlaufen Sie den Überprüfungsprozess, um Ihr Zertifikat zu erhalten
Abgesehen von der Generierung Ihres Schlüsselpaares, CSRGemäß der Zertifizierungserklärung und der Bescheinigung benötigt SSL.com bestimmte Dokumente und Registrierungsinformationen, bevor Sie ein Codesignaturzertifikat erhalten können. Der folgende verlinkte Artikel beschreibt den Überprüfungsprozess: Validierungsprozess für Dokumentensignatur-, Code-Signatur- und EV-Code-Signing-Zertifikate.Die EV-Code-Signing-Zertifikate von SSL.com werden weltweit als vertrauenswürdig eingestuft, wenn es darum geht, Softwarecode digital zu signieren mit sicheren digitalen Signaturen.