Koodin allekirjoitusvarmenteet, pilviallekirjoitusvaihtoehdot ja allekirjoitustoimintojen integrointi

Mikä on koodin allekirjoitusvarmenne?

Koodiallekirjoitussertifikaatti on digitaalinen varmenne, joka tarjoaa maailmanlaajuisesti hyväksytyn ohjelmiston julkaisijan henkilöllisyyden todisteen ja jonka voi hankkia hyvämaineiselta varmenteen myöntäjältä (CA), kuten SSL.com. Ohjelmistoyritykset käyttävät koodin allekirjoitusvarmenteita todistaakseen, että he ovat sovelluksen kehittäjiä. 

Koodin allekirjoitusvarmenteet estävät myös koodin peukaloinnin ja varmistavat, että tiedostossa ei ole luvattomia muutoksia, haittaohjelmia ja se on turvallinen asentaa. Koodin allekirjoitusvarmenteet ovat olennainen suojausominaisuus, kun ohjelmistoja jaetaan, myydään ja ladataan verkossa.  Koodisi digitaalinen allekirjoitus luotettujen SSL.com-varmenteiden avulla käyttäjät ja käyttöjärjestelmät tietävät, että ohjelmistosi on aito ja turvallinen asentaa. Voit aina ottaa yhteyttä meihin myyntitiimi selittää nämä vaihtoehdot ja antaa tarjouksen.

Oikean koodin allekirjoitusvarmenteen valinta

Organisaation validointi (OV) ja Individual Validation (IV) -varmenteita kutsutaan High Assurance -varmenteiksi, koska ne vaativat enemmän validointia ja antavat siten enemmän luottamusta. OV- ja IV-sertifikaattien osalta varmentaja tarkistaa todellisen organisaation tai yksittäisen henkilön, joka yrittää saada varmenteen. Varmenteessa on myös organisaation tai henkilön nimi, mikä lisää luottamusta varmenteen haltijan hyvämaineisuuteen. OV-varmenteita käyttävät usein yritykset, hallitukset ja muut tahot, jotka haluavat tarjota vierailijoilleen ylimääräistä luottamusta. SSL:n lisäksi/TLS todistuksia, OV ja IV käytetään myös yleisesti koodin allekirjoittaminen, asiakirjan allekirjoittaminen, asiakkaan todennusja S/MIME sähköpostin varmenteita. Lisätietoja vaatimuksista on osoitteessa SSL.com OV- ja IV-vaatimukset. Individual Validation (IV) Code Signing Certificate -sertifikaatti käyttää digitaalisia allekirjoituksia henkilökohtaisella nimellä, mikä sopii täydellisesti riippumattomille ohjelmistokehittäjille ja yksittäisten projektien osallistujille, jotka haluavat lisätä käyttäjiensä luottamusta.  EV-varmenteet, jotka tunnetaan myös nimellä yrityskoodin allekirjoitusvarmenteita, tarjoavat vierailijoille maksimaalisen luottamuksen ja vaativat myös CA:lta eniten vaivaa vahvistaakseen. EV-varmenteita saa myöntää vain yrityksille ja muille rekisteröidyille organisaatioille, ei yksityishenkilöille. SSL.com Sole Propertorship EV Code Signing Certificats lisää henkilön henkilöllisyyden EV-koodin allekirjoitusvarmenteeseen. Tämän vahvistusvaihtoehdon avulla yksityinen elinkeinonharjoittaja tai yksittäinen avustaja voi sisällyttää nimensä digitaaliseen allekirjoitukseen. Yksinyrittäjän vahvistusvaihtoehto on myös yrityksille, jotka vaativat ylimääräistä suojaustasoa sisällyttämällä yksilön varmennettu henkilöllisyys digitaaliseen allekirjoitukseen. Saat lisätietoja näiden sertifikaattien ominaisuuksista lukemalla artikkelimme,  Mitä koodin allekirjoitussertifikaattia tarvitsen? EV tai OV? Alla on lueteltu lyhyellä silmäyksellä OV- ja EV-koodin allekirjoitusvarmenteiden määrittävät ominaisuudet.

IV koodin allekirjoitustodistus:

• Käyttää digitaalisia allekirjoituksia henkilökohtaisella nimellä
• Täydellinen riippumattomille ohjelmistokehittäjille ja yksittäisten projektien osallistujille

OV-koodin allekirjoitussertifikaatti:

• Vahvistaa henkilöllisyytesi ohjelmiston julkaisijana
• Suojaa ohjelmistosi peukaloitumiselta ja haittaohjelmatartunnalta

EV-koodin allekirjoitustodistus:

• Mahdollisuus allekirjoittaa sekä pre-Windows 10 että Windows 10 -ajurit
• Välitön Microsoft SmartScreen -maine
• Allekirjoituksen ja aikaleiman vanheneminen
•  Mahdollisuus kirjautua pilveen eSignerillä
• Yksityisen yrityksen EV-koodin allekirjoitusvarmenteet lisäävät henkilön henkilöllisyyden vakiomuotoiseen EV-koodin allekirjoitusvarmenteeseen

SSL.com-tilin määrittäminen ja käyttö

Jos et vielä ole, aloita tilin luominen SSL.com-sivustolla. Tilisi voi luoda useita ryhmiä sekä kutsua useita käyttäjiä tietyillä rooleilla ja oikeuksilla.

Validointiprosessi

OV- tai IV-varmenteen vahvistamiseksi ja myöntämiseksi SSL.com-sivuston on vahvistettava henkilöllisyytesi, fyysinen osoitteesi ja puhelinnumerosi todennettavien verkkoresurssien ja/tai kelvollisten vahvistusasiakirjojen avulla. Lisätietoja vaatimuksista voit lukea Mitkä ovat SSL.com OV- ja IV-varmenteiden vaatimukset?  IV Code Signing Certificate -tilausten lisäksi hakijoiden on lähetettävä etu- ja takakuva henkilöllisyystodistuksesta sekä kuva heistä, joilla on henkilöllisyystodistus kasvojensa vieressä. CA/Browser Forumin ohjeiden mukaan EV-sertifikaatin myöntämistä varten on toimitettava lisäasiakirjoja. Suuntaa kohti FAQ: Laajennettu validointiprosessi tietää kaikki EV-sertifikaattien vaatimukset. Hakeville tahoille EV Code Signing Certificates, SSL.com suorittaa validoinnin sekä luotettujen verkkoresurssien ja/tai kelvollisten asiakirjojen sekä CA/Browser Forumin ohjeiden mukaisesti.  

Uudet avainten tallennusvaatimukset OV- ja IV-koodiallekirjoitusvarmenteille

1 alkaen SSL.com Organisaation validointi (OV) ja Individual Validation (IV) koodin allekirjoitussertifikaatit myönnetään vain joko Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tunnuksilla tai eSigner-pilvikoodin allekirjoituspalvelumme kautta. Tämä muutos on CA/B-foorumin uusien avainten tallennusvaatimusten mukainen koodin allekirjoitusavainten turvallisuuden lisäämiseksi. Aiempi sääntö salli OV- ja IV-koodin allekirjoitusvarmenteiden myöntämisen ladattavina tiedostoina Internetistä. Koska uudet vaatimukset sallivat vain salattujen USB-tunnisteiden tai pilvipohjaisten FIPS-yhteensopivien laitteistojen käytön varmenteen ja yksityisen avaimen tallentamiseen, on odotettavissa, että koodin allekirjoitusavaimia varastetaan ja haitalliset toimijat käyttävät väärin. Klikkaus linkki oppia lisää SSL.com eSigner pilvikoodin allekirjoitusratkaisu.

Avainten säilytys- ja allekirjoitusmenetelmät laajennetun validoinnin koodiallekirjoitusvarmenteille 

USB-tunnus

Yleisin tapa EV-koodin allekirjoittamiseen on käyttää Hardware Security Module (HSM) -laitetta, kuten USB-tunnusta, joka tallentaa EV Code Signing -sertifikaatin ja toimii avaimena ohjelmistokoodin allekirjoittamisessa. Verrattuna varmenteen tallentamiseen paikalliselle koneelle, USB-tunniste antaa hyviä tuloksia kämmentietokoneen suojauksessa ja siirrettävyydessä. Yksi rajoitus on kuitenkin se, että useiden tokenien ostaminen ja hallinta voi olla melko kallista, eivätkä ne ole niin joustavia verrattuna pilvipohjaisiin vaihtoehtoihin.  SSL.com tarjoaa suojatun yksityisen avaimen tallennustilan ja fyysisen 2FA-suojauksen Yubikey FIPS USB Tokenilla. Tämä USB-laite lisää ohjelmistoosi peukaloinnin eston, koska vain ne henkilöt, joilla on se tosiasiallisesti hallussaan, voivat allekirjoittaa koodin digitaalisesti sovelluksiisi tai ohjelmiisi.

Pilvi HSM

Toinen vaihtoehto EV-koodin allekirjoittamiseen on käyttää verkkoon kytkettyä HSM:ää pilvessä koodin allekirjoitussertifikaattien ja avainten isännöimiseen. Tämä menetelmä tarjoaa vertailukelpoisen suojaustason kuin USB-tunniste, koska myöskään yksityisiä avaimia ei voi viedä. Koska koodin allekirjoittaminen tapahtuu pilven kautta, kehittäjien kesken saavutetaan skaalautuva yhteistyö. On kuitenkin huomattava, että tämä menetelmä saattaa vaatia asiantuntemusta tietyltä pilvipalveluntarjoajalta. SSL.com tukee kolmea Cloud HSM:ää EV-koodin allekirjoitusvarmenteiden myöntämiseen: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM ja Google Cloud HSM. Saat lisätietoja kustakin lukemalla opasartikkelimme: Tuetut pilvi-HSM: t asiakirjojen ja EV-koodien allekirjoittamiseen.

• Jos haluat tietää, kuinka voit käyttää HSM-tiliäsi ja palkata ammattilaisen Cloud HSM -todistukseen, voit lukea artikkelimme Tuo oma Auditor Cloud HSM -todistus.
• SSL.com kehittää ja testaa parhaillaan todistusmenettelyjä useille HSM-alustoille. Voit täyttää tämän kyselylomake selvittääksemme, testaammeko HSM-alustaa, jota ei ole mainittu yllä.

eSigner: Koodin allekirjoittaminen palveluna

Kolmanneksi moderni ja erittäin kätevä lähestymistapa EV Code Signingiin on koodin allekirjoittaminen palveluna. SSL.comin eSigner-pilvikoodin allekirjoituspalvelu on esimerkki tästä menetelmästä.  ESignerin avulla SSL.com käsittelee sekä julkisen avaimen infrastruktuuria (PKI) ja HSM: t koodin allekirjoittamista varten. Ei-vietävät allekirjoitusavaimet tallennetaan eSignerin HSM: iin, joissa asiakas tai SSL.com ei voi tarkastella niitä. Tällä tavoin suojausstandardi on yhtä korkea kuin tokenien ja pilvi-HSM: ien kohdalla, mutta asiakkaan ei tarvitse käsitellä niitä suoraan. ESigner-ympäristö sisältää useita allekirjoitusvaihtoehtoja, jotka vastaavat useiden asiakkaiden tarpeita yksittäisistä kehittäjistä monimutkaisiin organisaatioihin.

eSigner-allekirjoitusvaihtoehdot

• SSL.comin eSigner-palvelun avulla voit käyttää SSL.com Extended Validation Code Signing Certificate -sertifikaattia koodin allekirjoittamiseen mistä tahansa Internetiin yhdistetystä laitteesta ilman lisälaitteita. Kun olet rekisteröinyt EV Code Signing -varmennetilauksesi eSignerissä, voit allekirjoittaa koodin joko eSigner Express -verkkosovellus, eSigner CodeSignTool tai SSL.comin CSC-yhteensopivan kautta koodin allekirjoituksen API. 

eSignerin tukemat tiedostotyypit

• Voit lukea oppaamme, eSignerin tukemat tiedostotyypit, jotta tiedät, mitä tiedostotyyppejä eSigner Express ja eSigner API tukevat.

Koodin allekirjoitussertifikaatin käytön aloittaminen:

Saatuasi uuden koodin allekirjoitusvarmenteen sinulla voi olla kysyttävää sen käytöstä ja mihin sovelluksiin se voidaan integroida. Alla olevat linkitetyt oppaat vastaavat yleisiin kysymyksiin, joita sinulla voi olla uuden varmenteen käytön aloittamisesta.

• Kuinka ostaa koodin allekirjoitus- ja EV-koodin allekirjoitusvarmenteita SSL.com-sivustolta
• Kuinka asentaa SSL.com OV-koodin allekirjoitussertifikaatti Windows 10:een
• UKK: EV-koodin allekirjoitussertifikaatin käytön aloittaminen
• Rekisteröidy Windows Hardware Developer Program -ohjelmaan allekirjoittaaksesi ohjaimet EV Code Signing -sovelluksella
• Kuinka käyttää OV- tai EV-koodin allekirjoitussertifikaatti Microsoftin SignTool- ja SSL.com-palveluilla SSL Manager

eSigner Cloud Code Signingin käytön aloittaminen

• eSignerin palveluominaisuudet
• Ilmoittaudu eSigneriin
• Allekirjoitustilauksen valitseminen
  • eSigner-hinnoittelu koodin allekirjoittamiseen
  • eSigner-hinnoittelu asiakirjojen allekirjoittamiseen
  • Kuinka muokata eSigner-tasoa

Alla on resursseja, joista saat lisätietoja eSignerin käyttöliittymän käytöstä ja sen määrittämisestä tiimityötä varten.

• Usein kysyttyjä kysymyksiä eSigneristä
• Kuinka tarkastella ja nollata eSigner QR-koodi tai nollata PIN-koodi
• ESigner-asiakirjan ja EV-koodin allekirjoitusvarmenteiden tiimien jakaminen

Yubikeysi käyttäminen

SSL.com-sivustolta tilatut sertifikaatit, kuten EV Code Signing, toimitetaan valmiiksi asennettuna Hardware Security Module (HSM) -moduuliin, kuten FIPS 140-2 -suojausavaimen USB-tunniste. Jos varmennettasi ei ole vielä vahvistettu, voit ilmoittaa tarvitsemasi määrän tokeneita tilauksen yhteydessä ja ennen vahvistusprosessin suorittamista. Mikäli sertifikaattisi on jo myönnetty, sinulla on edelleen mahdollisuus tilata lisää tokeneita. Jos haluat tietää kuinka lisätä Yubikeys EV Code Signing -sertifikaattiin, napsauta tätä opasta: YubiKeysin lisääminen varmennetilaukseen Jos sinulla on jo Yubikey, voit katsoa sen käyttöä koskevia ohjeita seuraavista ohjeista:

• YubiKey Pikaohjeet
• YubiKeyn PIN-koodin eston poistaminen
• Kuinka käyttää Yubikey FIPS PIN- ja PUK-koodia
• Entä jos EV-koodin allekirjoitustunnukseni on tyhjä?
• Kuinka asentaa SSL.com-juuri- ja välisertifikaatit YubiKeylle
• Avainten luominen ja sertifiointi Yubikeyn avulla

Automaatio ja integrointi

eSigner CKA (Cloud Key Adapter)

•  eSigner CKA (Cloud Key Adapter) on Windows-pohjainen sovellus, joka käyttää CNG-käyttöliittymää (KSP Key Service Provider), jotta työkalut, kuten certutil.exe ja signtool.exe, voivat käyttää eSigner CSC:tä automaattisiin koodin allekirjoitustoimintoihin. eSigner CKA toimii virtuaalisena USB-tunnisteena ja lataa koodin allekirjoitussertifikaatit varmennevarastoon. 

eSigner ja CodeSignTool automaattiseen EV-koodin allekirjoitukseen

• CodeSignTool on ihanteellinen automatisoituihin eräprosesseihin suuren volyymin allekirjoituksiin tai integrointiin olemassa oleviin CI/CD-putkien työnkulkuihin.
• Lue CodeSignTool opas kuinka allekirjoittaa koodiobjektit ilman, että sinua pyydetään syöttämään OTP manuaalisesti jokaiselle tiedostolle.
• Pään yli eSigner CodeSign Toolin komentoopas saadaksesi lisätietoja tuetuista komennoista, vaihtoehdoista ja parametreista.

Erityiset CI/CD-palvelun integrointioppaat

Alla on erityisiä ohjeita koodin allekirjoittamisen automatisoimiseksi eSignerillä suosituimmille CI/CD-alustoille.

• Pilvikoodin allekirjoituksen integrointi CircleCI:n kanssa
• Cloud Code Signing -integraatio GitHub Actionsin kanssa
• Cloud Code Signing -integraatio GitLab CI:n kanssa
• Cloud Code Signing -integrointi Travis CI:n kanssa
• Pilvikoodin allekirjoituksen integrointi Jenkins CI:n kanssa
• Cloud Code Signing -integraatio Azure DevOpsin kanssa

Saat lisätietoja pilvipohjaisen koodin allekirjoituksen arvosta lukemalla artikkelimme: Pilvikoodin allekirjoitusautomaatio CI/CD-palveluilla.

Testataan EV-koodin allekirjoitusta hiekkalaatikossa

SSL.com ylläpitää erillistä "hiekkalaatikko"-ympäristöä eSigner-pilviallekirjoituspalvelullemme, jotta käyttäjät voivat kokeilla erilaisia ​​sovelluksia, apuohjelmia ja sovellusliittymiä ennen kuin he työskentelevät livenä. EV-koodin allekirjoittaminen todistukset.

• Päätä meidän ohjeartikkeli joka sisältää eSigner-demotunnisteet, QR-koodit ja määritystiedot helpottamaan kokeellista käyttöä. eSigner Express -hiekkalaatikko, CodeSignToolja CSC, Koodin allekirjoittaminen.
• Saat täydellisen oppaan hiekkalaatikkotilin luomisesta, testitilauksen luomisesta ja Sandboxin käyttämisestä SSL.comin SWS-sovellusliittymän kanssa lukemalla opasartikkelimme: SStelu-hiekkalaatikon käyttäminen testaamiseen ja integrointiin.

Erityiset ympäristöoppaat

SSL.comin EV Code Signing -varmenteita voidaan käyttää erilaisissa koodiallekirjoitusympäristöissä. Katso tarkemmat ohjeet alla olevista artikkeleista: 

• Java-koodin allekirjoittaminen OV/IV- tai EV-koodin allekirjoitussertifikaatilla
• Kernel-tilan ajurien allekirjoittaminen Windowsille EV- tai OV-koodin allekirjoitusvarmenteilla
• UKK: Ytimen tilan koodin allekirjoittamisen varmenteet
• Jsignin käyttö Linuxin komentoriviltä OV/IV-koodin allekirjoittamiseen ja EV-koodin allekirjoittamiseen
• Koodin allekirjoitus Azure DevOpsilla Azure Key Vaultiin tallennettua varmennetta käyttämällä

Yllä mainittujen lisäksi on muitakin ympäristöjä, joiden kanssa SSL.com-koodin allekirjoitusvarmenteet ovat yhteensopivia. Ottaa yhteyttä support@ssl.com tai käytä verkkosivuston chattia muita ympäristöjä koskeviin kysymyksiin.

Ota yhteyttä myyntiin tai ota yhteyttä tukeen

Jos tarvitset jonkun, joka opastaa sinua kaikkien koodin allekirjoitusvaihtoehtojemme läpi, keskustelee mukautetuista integroinneista, suurista tarjouksista, tarjouksista tai muista mukautetuista ratkaisuista, voit aina ottaa yhteyttä myynti- tai tukitiimiimme.

Yhteydenottolomake