コード署名証明書、クラウド署名オプション、および署名操作の統合

コード署名証明書とは何ですか?

コード署名証明書は、ソフトウェア発行者の身元を証明する世界的に認められたデジタル証明書であり、SSL.comなどの信頼できる認証局(CA)から入手できます。 ソフトウェア会社は、コード署名証明書を使用して、アプリケーションの開発者であることを証明します。 

コード署名証明書は、コードの改ざんを防ぎ、ファイルに不正な変更やマルウェアがなく、安全にインストールできるようにします。 コード署名証明書は、ソフトウェアがオンラインで配布、販売、およびダウンロードされる場合に不可欠なセキュリティ機能です。  コードにデジタル署名する 信頼できるSSL.com証明書を使用すると、ユーザーとオペレーティングシステムは、ソフトウェアが本物で安全にインストールできることを知ることができます。 あなたはいつでも私たちに連絡することができます セールスチーム これらのオプションを説明し、見積もりを提供します。
コード署名証明書が必要ですか? SSL.comには、ニーズに合わせてオプションがあります。 証明書の詳細.

適切なコード署名証明書の選択

組織検証(OV)および個人検証(IV)証明書は、より多くの検証を必要とし、したがってより多くの信頼を提供するため、高保証証明書と呼ばれます。 OVおよびIV証明書の場合、CAは、証明書を取得しようとしている実際の組織または個人を確認します。 組織または個人の名前も証明書に記載されており、証明書の所有者が信頼できるという信頼がさらに高まります。 OV証明書は、訪問者にさらなる信頼を提供したい企業、政府、およびその他のエンティティによってよく使用されます。 SSL/以外TLS 証明書、OVおよびIVは、 コード署名, 文書の署名, クライアント認証, S/MIME 電子メール証明書。 要件の詳細については、SSL.comのを参照してください。 OVおよびIVの要件. 個人検証(IV)コード署名証明書は、個人名のデジタル署名を適用します。これは、ユーザーからの信頼と信頼を高めたい独立したソフトウェア開発者や個々のプロジェクト貢献者に最適です。  エンタープライズ コード署名証明書とも呼ばれる EV 証明書は、訪問者に最大限の信頼を提供し、CA による検証に最も多くの労力を必要とします。 EV 証明書は、企業やその他の登録組織にのみ発行でき、個人には発行できません。 SSL.comの個人事業EVコード署名証明書は、標準のEVコード署名証明書に個人のIDを追加します。 この検証オプションにより、個人事業主または個人の寄稿者がデジタル署名に自分の名前を含めることができます。 個人事業主の検証オプションは、個人の検証済みIDをデジタル署名に含めることにより、セキュリティの追加レイヤーを必要とする企業向けでもあります。 これらの証明書の機能について詳しくは、次の記事をご覧ください。  どのコード署名証明書が必要ですか? EVまたはOV? 一目で、OVおよびEVコード署名証明書の定義機能を以下に示します。

IVコード署名証明書:

  • 個人名のデジタル署名を適用します
  • 独立したソフトウェア開発者や個々のプロジェクトの貢献者に最適

OVコード署名証明書:

  • ソフトウェア発行者としての身元を確認します
  • ソフトウェアを改ざんやマルウェア感染から保護します

EVコード署名証明書:

  • Windows10以前のドライバーとWindows10ドライバーの両方に署名する機能
  • インスタントMicrosoft SmartScreenレピュテーション
  • 署名とタイムスタンプの有効期限が切れていない
  •  eSignerを使用してクラウドにサインオンする機能
  • 個人事業EVコード署名証明書は、標準のEVコード署名証明書に個人のIDを追加します

SSL.comアカウントの設定と使用

まだ行っていない場合は、 SSL.comでアカウントを作成する。 アカウントには、複数のチームを作成する機能と、特定の役割と権限を割り当てられた複数のユーザーを招待する機能があります。

検証プロセス

OVまたはIV証明書を検証して発行するには、SSL.comは、検証可能なオンラインリソースや有効な検証ドキュメントを介して、ID、住所、電話番号を検証する必要があります。 要件の詳細については、以下をお読みください。 SSL.com OVおよびIV証明書の要件は何ですか?  さらに、IVコード署名証明書の注文の場合、申請者はIDの表と裏の画像に加えて、顔の横にIDを保持している画像を提出する必要があります。 CA /ブラウザフォーラムによって設定されたガイドラインに従って、EV証明書を発行するために追加のドキュメントを提供する必要があります。 に向かいます FAQ:Extended Validation(EV)プロセス EV証明書のすべての要件を知るため。 EV コード署名証明書を要求する組織の場合、SSL.com は、信頼できるオンライン リソースや有効なドキュメント、および CA/ブラウザ フォーラムによって設定されたガイドラインに従った追加のドキュメントの両方を通じて検証を実施します。  

OVおよびIVコード署名証明書の新しいキーストレージ要件

1年2023月XNUMX日以降、 SSL.com の組織検証 (OV) および個人検証 (IV) コード署名証明書は、連邦情報処理規格 140-2 (FIPS 140-2) USB トークンまたは eSigner クラウド コード署名サービスを通じてのみ発行されます。 この変更は、コード署名キーのセキュリティを強化するための認証局/ブラウザ (CA/B) フォーラムの新しいキー ストレージ要件に準拠しています。 以前のルールでは、OV および IV コード署名証明書をインターネットからダウンロード可能なファイルとして発行することが許可されていました。 新しい要件では、証明書と秘密キーを保存するために、暗号化された USB トークンまたはクラウドベースの FIPS 準拠のハードウェア アプライアンスの使用のみが許可されるため、悪意のある攻撃者によってコード署名キーが盗まれたり、悪用されたりする事例が大幅に減少すると予想されます。 クリック このリンク 詳細については SSL.com eSigner クラウド コード署名ソリューション。

ExtendedValidationCode署名証明書の主要な保存および署名方法 

USBトークン

SSL.com は、Yubikey FIPS トークンと Thales SafeNet (Gemalto) USB トークンにプリインストールされたコード署名証明書を出荷します。 Thales SafeNet トークンは、カーネル モード署名に不可欠であり、Microsoft システムのドライバー署名などの特定のソフトウェア開発環境の前提条件である最大 3072 ビットの RSA キーを処理できます。 Through a procedure known as remote attestation, customers of SSL.com, regardless of their location, can create a key pair directly on their YubiKey along with an attestation certificate that verifies the private key’s generation on the device. The attestation certificate can subsequently be used to renew an expired certificate that is in the Yubikey. Support for remote attestation is one feature that is currently not available for Thales token customers. For a more detailed comparison between the features of Yubikeys and Thales SafeNet tokens, please refer to this SSL.com article: Yubikey FIPS トークンと Thales/Gemalto USB トークンの比較.   Both Yubikey and Thales SafeNet tokens are designed to boost security without substantially compromising user experience. The choice between them should be guided by the organization’s security approach and operational needs. However, as physical devices, they can be lost or stolen, posing significant security risks and potentially incurring high replacement costs. In a modern remote work setting, the logistics of distributing and maintaining these hardware tokens can pose significant challenges for IT teams, requiring notable expenses and manpower. Additionally, these tokens do not offer the same level of convenience as cloud-based solutions, especially for developers working within a CI/CD pipeline.

クラウドHSM

A second option for EV code signing is to use a networked HSM in the cloud to host code signing certificates and keys. This method offers a comparable level of security as a USB token when the HSM is configured to have non-exportable keys during the key generation. With the key material accessible in the cloud, integration with CI/CD services becomes easier as does team collaboration with the same certificate and key material.  It should be noted that this method may require expertise with the particular cloud service provider. For the issuance of code signing certificates, SSL.com supports various Cloud HSMs, including Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM, and Google Cloud HSM. To get more details on each one, you can read our guide: ドキュメント署名とEVコード署名でサポートされるCloud HSM.
  • HSMアカウントを使用して、Cloud HSM Attestationの専門家を雇う方法を知るには、記事を読むことができます。 独自のAuditorCloudHSMアテステーションを持参してください.
  • SSL.comは現在、さまざまなHSMプラットフォームの認証手順を開発およびテストしています。 あなたはこれに記入することができます お問い合わせフォーム 上記にリストされていないHSMプラットフォームをテストしているかどうかを確認します。

eSigner:サービスとしてのコード署名

第三に、EV コード署名に対する最新の非常に便利なアプローチは、コード署名をサービスとして扱うことです。 SSL.com の eSigner クラウド コード署名サービスは、この方法の一例です。  eSignerを使用すると、SSL.comは両方の公開鍵インフラストラクチャを処理します(PKI)およびコード署名用のHSM。 エクスポートできない署名キーはeSignerのHSMに保存され、顧客もSSL.comもそれらを表示できません。 このように、セキュリティ標準はトークンやクラウドHSMと同じくらい高いですが、クライアントがそれらを直接処理する必要はありません。 eSigner環境には、個々の開発者から複雑な組織まで、さまざまな顧客のニーズに対応するための多数の署名オプションが含まれています。

eSigner署名オプション

  • SSL.comのeSignerサービスを使用すると、SSL.com Extended Validation Code署名証明書を使用して、追加のハードウェアなしでインターネットに接続されたデバイスからコードに署名できます。 EVコード署名証明書の注文をeSignerに登録した後、次のいずれかを使用してコードに署名できます。 eSignerExpressWebアプリ, 電子署名者 CodeSignTool またはSSL.comのCSC準拠を介して コード署名API

eSignerがサポートするファイルタイプ

コード署名証明書の使用を開始する:

新しいコード署名証明書を受け取ったときに、その使用方法と統合できるアプリケーションについて質問がある場合があります。 以下のリンクされたガイドは、新しい証明書の使用を開始する方法についての一般的な質問に答えます。

eSignerクラウドコード署名入門

以下は、eSignerのインターフェースを使用し、チーム指向のタスク用にセットアップする方法に関する詳細情報を提供できるリソースです。

Yubikeysを使用する

SSL.comから注文されたEVコード署名などの証明書には、FIPS 140-2検証済みセキュリティキーUSBトークンなどのハードウェアセキュリティモジュール(HSM)にプリインストールされているオプションが付属しています。 証明書がまだ検証されていない場合は、注文時および検証プロセスを完了する前に、必要なトークンの数を含めることができます。 証明書がすでに発行されている場合でも、追加のトークンを注文するオプションがあります。 Yubikeys を EV コード署名証明書に追加する方法については、次のガイドをクリックしてください。 証明書の注文にYubiKeysを追加する方法 すでにYubikeyをお持ちの場合は、操作方法について次のガイドを参照してください。

自動化と統合

eSigner CKA(クラウドキーアダプター)

  •  eSigner CKA(クラウドキーアダプター) は、CNGインターフェイス(KSPキーサービスプロバイダー)を使用して、certutil.exeやsigntool.exeなどのツールが自動コード署名操作にeSignerCSCを使用できるようにするWindowsベースのアプリケーションです。 eSigner CKAは仮想USBトークンのように機能し、コード署名証明書を証明書ストアにロードします。 

自動EVコード署名用のeSignerおよびCodeSignTool

  • CodeSignToolは、大量の署名や既存のCI/CDパイプラインワークフローへの統合のための自動バッチプロセスに最適です。
  • 私たちを読む CodeSignToolガイド 各ファイルの手動OTP入力を求められずにコードオブジェクトに署名する方法について。
  • 〜へ向かう eSignerCodeSignツールコマンドガイド サポートされているコマンド、オプション、およびパラメーターについて詳しく知るため。

特定の CI/CD サービス統合ガイド

以下は、最も一般的な CI/CD プラットフォームで eSigner を使用してコード署名を自動化する方法に関する具体的なガイドです。 記事を読んで、クラウドベースのコード署名の価値について詳しく学んでください。 CI/CD サービスによるクラウド コード署名の自動化。

サンドボックスでのEVコード署名のテスト

SSL.comは、eSignerクラウド署名サービス用に個別の「サンドボックス」環境を維持しているため、ユーザーはライブで作業する前にさまざまなアプリ、ユーティリティ、APIを試すことができます。 EVコード署名 証明書。

特定の環境ガイド

SSL.com の EV Code Signing 証明書は、さまざまなコード署名環境で使用できます。 特定のガイドについては、以下の記事を参照してください。  上記のほかに、SSL.comコード署名証明書と互換性のある環境が他にもあります。 コンタクト お問い合わせ または、他の環境に関する質問については、Webサイトのチャットを使用してください。

セールスまたはサポートに連絡する

コード署名オプションのすべてを説明し、カスタム統合、大量取引、見積もり、またはその他のカスタムソリューションについて話し合う人が必要な場合は、いつでも営業チームまたはサポートチームに連絡できます。

お問合せフォーム

Twitter
Facebook
LinkedIn
Reddit
メール

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。