コード署名証明書とは何ですか?
コード署名証明書は、ソフトウェア発行者の身元を証明する世界的に認められたデジタル証明書であり、SSL.com などの公的に信頼された証明機関 (CA) から取得できます。ソフトウェア会社は、コード署名証明書を使用して、アプリケーションの開発者であることを証明します。
コード署名証明書は、コードの改ざんを防ぎ、ファイルに不正な変更やマルウェアがなく、安全にインストールできるようにします。 コード署名証明書は、ソフトウェアがオンラインで配布、販売、およびダウンロードされる場合に不可欠なセキュリティ機能です。
コードにデジタル署名する 信頼できるSSL.com証明書を使用すると、ユーザーとオペレーティングシステムは、ソフトウェアが本物で安全にインストールできることを知ることができます。
あなたはいつでも私たちに連絡することができます セールスチーム これらのオプションを説明し、見積もりを提供します。
適切なコード署名証明書の選択
組織検証(OV)および個人検証(IV)証明書は、より多くの検証を必要とし、したがってより多くの信頼を提供するため、高保証証明書と呼ばれます。 OVおよびIV証明書の場合、CAは、証明書を取得しようとしている実際の組織または個人を確認します。 組織または個人の名前も証明書に記載されており、証明書の所有者が信頼できるという信頼がさらに高まります。
OV証明書は、訪問者にさらなる信頼を提供したい企業、政府、およびその他のエンティティによってよく使用されます。 SSL/以外TLS 証明書、OVおよびIVは、 コード署名, 文書の署名, クライアント認証, S/MIME 電子メール証明書。 要件の詳細については、SSL.comのを参照してください。 OVおよびIVの要件.
個人検証(IV)コード署名証明書は、個人名のデジタル署名を適用します。これは、ユーザーからの信頼と信頼を高めたい独立したソフトウェア開発者や個々のプロジェクト貢献者に最適です。
エンタープライズ コード署名証明書とも呼ばれる EV 証明書は、訪問者に最大限の信頼を提供し、CA による検証に最も多くの労力を必要とします。 EV 証明書は、企業やその他の登録組織にのみ発行でき、個人には発行できません。
SSL.comの個人事業EVコード署名証明書は、標準のEVコード署名証明書に個人のIDを追加します。 この検証オプションにより、個人事業主または個人の寄稿者がデジタル署名に自分の名前を含めることができます。 個人事業主の検証オプションは、個人の検証済みIDをデジタル署名に含めることにより、セキュリティの追加レイヤーを必要とする企業向けでもあります。
これらの証明書の機能について詳しくは、次の記事をご覧ください。 どのコード署名証明書が必要ですか? EVまたはOV?
一目で、OVおよびEVコード署名証明書の定義機能を以下に示します。
IVコード署名証明書:
- 個人名のデジタル署名を適用します
- 独立したソフトウェア開発者や個々のプロジェクトの貢献者に最適
OVコード署名証明書:
- ソフトウェア発行者としての身元を確認します
- ソフトウェアを改ざんやマルウェア感染から保護します
EVコード署名証明書:
- Windows10以前のドライバーとWindows10ドライバーの両方に署名する機能
- インスタントMicrosoft SmartScreenレピュテーション
- 署名とタイムスタンプの有効期限が切れていない
- eSignerを使用してクラウドにサインオンする機能
- 個人事業EVコード署名証明書は、標準のEVコード署名証明書に個人のIDを追加します
SSL.comアカウントの設定と使用
まだ行っていない場合は、 SSL.comでアカウントを作成する。 アカウントには、複数のチームを作成する機能と、特定の役割と権限を割り当てられた複数のユーザーを招待する機能があります。
検証プロセス
OVまたはIV証明書を検証して発行するには、SSL.comは、検証可能なオンラインリソースや有効な検証ドキュメントを介して、ID、住所、電話番号を検証する必要があります。 要件の詳細については、以下をお読みください。 SSL.com OVおよびIV証明書の要件は何ですか?
さらに、IVコード署名証明書の注文の場合、申請者はIDの表と裏の画像に加えて、顔の横にIDを保持している画像を提出する必要があります。
CA /ブラウザフォーラムによって設定されたガイドラインに従って、EV証明書を発行するために追加のドキュメントを提供する必要があります。 に向かいます FAQ:Extended Validation(EV)プロセス EV証明書のすべての要件を知るため。
EV コード署名証明書を要求する組織の場合、SSL.com は、信頼できるオンライン リソースや有効なドキュメント、および CA/ブラウザ フォーラムによって設定されたガイドラインに従った追加のドキュメントの両方を通じて検証を実施します。
OVおよびIVコード署名証明書の新しいキーストレージ要件
1年2023月XNUMX日以降、 SSL.com の組織検証 (OV) および個人検証 (IV) コード署名証明書は、連邦情報処理規格 140-2 (FIPS 140-2) USB トークンまたは eSigner クラウド コード署名サービスを通じてのみ発行されます。 この変更は、コード署名キーのセキュリティを強化するための認証局/ブラウザ (CA/B) フォーラムの新しいキー ストレージ要件に準拠しています。 以前のルールでは、OV および IV コード署名証明書をインターネットからダウンロード可能なファイルとして発行することが許可されていました。 新しい要件では、証明書と秘密キーを保存するために、暗号化された USB トークンまたはクラウドベースの FIPS 準拠のハードウェア アプライアンスの使用のみが許可されるため、悪意のある攻撃者によってコード署名キーが盗まれたり、悪用されたりする事例が大幅に減少すると予想されます。 クリック このリンク 詳細については SSL.com eSigner クラウド コード署名ソリューション。
ExtendedValidationCode署名証明書の主要な保存および署名方法
USBトークン
SSL.com は、Yubikey FIPS トークンと Thales SafeNet (Gemalto) USB トークンにプリインストールされたコード署名証明書を出荷します。
Thales SafeNet トークンは、カーネル モード署名に不可欠であり、Microsoft システムのドライバー署名などの特定のソフトウェア開発環境の前提条件である最大 3072 ビットの RSA キーを処理できます。
SSL.com のお客様は、リモート認証と呼ばれる手順により、場所に関係なく、YubiKey に直接キー ペアを作成し、デバイス上での秘密キーの生成を確認する認証証明書を作成できます。認証証明書は、その後、Yubikey 内の期限切れの証明書を更新するために使用できます。リモート認証のサポートは、現在 Thales トークンのお客様にはご利用いただけない機能の 1 つです。Yubikey と Thales SafeNet トークンの機能の詳細な比較については、SSL.com の次の記事を参照してください。 Yubikey FIPS トークンと Thales/Gemalto USB トークンの比較.
YubikeyとThales SafeNetトークンはどちらも、ユーザーエクスペリエンスを大幅に損なうことなくセキュリティを強化するように設計されています。どちらを選択するかは、組織のセキュリティアプローチと運用ニーズに基づいて判断する必要があります。しかし、物理デバイスであるため、紛失や盗難の可能性があり、重大なセキュリティリスクをもたらし、高額な交換費用が発生する可能性があります。現代のリモートワーク環境では、これらのハードウェアトークンの配布と保守のロジスティクスがITチームにとって大きな課題となり、多大な費用と人員が必要になります。さらに、これらのトークンは、特にCI/CDパイプラインで作業する開発者にとって、クラウドベースのソリューションと同等の利便性を提供しません。
クラウドHSM
EV コード署名の 2 番目のオプションは、クラウド内のネットワーク HSM を使用してコード署名証明書とキーをホストすることです。この方法は、キー生成時に HSM がエクスポート不可能なキーを持つように構成されている場合、USB トークンと同等のレベルのセキュリティを提供します。クラウドでキー マテリアルにアクセスできるため、CI/CD サービスとの統合が容易になり、同じ証明書とキー マテリアルを使用したチーム コラボレーションも容易になります。この方法では、特定のクラウド サービス プロバイダーに関する専門知識が必要になる場合があることに注意してください。コード署名証明書の発行については、SSL.com は、Azure Key Vault (プレミアム ティア)、Azure Key Vault Managed HSM、Azure Dedicated HSM、Amazon Web Services (AWS) CloudHSM、Google Cloud HSM など、さまざまなクラウド HSM をサポートしています。それぞれの詳細については、次のガイドをお読みください。 ドキュメント署名とEVコード署名でサポートされるCloud HSM.
- HSMアカウントを使用して、Cloud HSM Attestationの専門家を雇う方法を知るには、記事を読むことができます。 独自のAuditorCloudHSMアテステーションを持参してください.
- SSL.comは現在、さまざまなHSMプラットフォームの認証手順を開発およびテストしています。 あなたはこれに記入することができます お問い合わせフォーム 上記にリストされていないHSMプラットフォームをテストしているかどうかを確認します。
eSigner:サービスとしてのコード署名
第三に、EV コード署名に対する最新の非常に便利なアプローチは、コード署名をサービスとして扱うことです。 SSL.com の eSigner クラウド コード署名サービスは、この方法の一例です。
eSignerを使用すると、SSL.comは両方の公開鍵インフラストラクチャを処理します(PKI)およびコード署名用のHSM。 エクスポートできない署名キーはeSignerのHSMに保存され、顧客もSSL.comもそれらを表示できません。 このように、セキュリティ標準はトークンやクラウドHSMと同じくらい高いですが、クライアントがそれらを直接処理する必要はありません。
eSigner環境には、個々の開発者から複雑な組織まで、さまざまな顧客のニーズに対応するための多数の署名オプションが含まれています。
eSigner署名オプション
- SSL.comのeSignerサービスを使用すると、SSL.com Extended Validation Code署名証明書を使用して、追加のハードウェアなしでインターネットに接続されたデバイスからコードに署名できます。 EVコード署名証明書の注文をeSignerに登録した後、次のいずれかを使用してコードに署名できます。 eSignerExpressWebアプリ, 電子署名者 CodeSignTool またはSSL.comのCSC準拠を介して コード署名API.
eSignerがサポートするファイルタイプ
- あなたは私たちのガイドを読むことができます、 eSignerがサポートするファイルタイプ、eSignerExpressおよびeSignerAPIでサポートされているファイルタイプを確認します。
コード署名証明書の使用を開始する:
新しいコード署名証明書を受け取ったときに、その使用方法と統合できるアプリケーションについて質問がある場合があります。 以下のリンクされたガイドは、新しい証明書の使用を開始する方法についての一般的な質問に答えます。
- SSL.comからコード署名およびEVコード署名証明書を購入する方法
- Windows10にSSL.comOVコード署名証明書をインストールする方法
- FAQ:EVコード署名証明書の開始
- Windows ハードウェア開発者プログラムに登録して、EV コード署名でドライバーに署名する
- MicrosoftのSignToolおよびSSL.comでOVまたはEVコード署名証明書を使用する方法 SSL Manager
eSignerクラウドコード署名入門
- eSignerのサービス機能
- eSignerに登録する
- 署名サブスクリプションの選択
以下は、eSignerのインターフェースを使用し、チーム指向のタスク用にセットアップする方法に関する詳細情報を提供できるリソースです。
Yubikeysを使用する
SSL.comから注文されたEVコード署名などの証明書には、FIPS 140-2検証済みセキュリティキーUSBトークンなどのハードウェアセキュリティモジュール(HSM)にプリインストールされているオプションが付属しています。 証明書がまだ検証されていない場合は、注文時および検証プロセスを完了する前に、必要なトークンの数を含めることができます。 証明書がすでに発行されている場合でも、追加のトークンを注文するオプションがあります。
Yubikeys を EV コード署名証明書に追加する方法については、次のガイドをクリックしてください。 証明書の注文にYubiKeysを追加する方法
すでにYubikeyをお持ちの場合は、操作方法について次のガイドを参照してください。
- YubiKeyクイックインストラクション
- YubiKeyPINのブロックを解除する方法
- YubikeyFIPSPINとPUKにアクセスする方法
- EVコード署名トークンが空白の場合はどうなりますか?
- YubiKeyにSSL.comルート証明書と中間証明書をインストールする方法
- Yubikeyでキーの生成と認証を行う方法
自動化と統合
eSigner CKA(クラウドキーアダプター)
- eSigner CKA(クラウドキーアダプター) は、CNGインターフェイス(KSPキーサービスプロバイダー)を使用して、certutil.exeやsigntool.exeなどのツールが自動コード署名操作にeSignerCSCを使用できるようにするWindowsベースのアプリケーションです。 eSigner CKAは仮想USBトークンのように機能し、コード署名証明書を証明書ストアにロードします。
自動EVコード署名用のeSignerおよびCodeSignTool
- CodeSignToolは、大量の署名や既存のCI/CDパイプラインワークフローへの統合のための自動バッチプロセスに最適です。
- FAIC/Tru Vue 保存展示助成金を受けて実施された地図の修復処理および展示準備の詳細については、 CodeSignToolガイド 各ファイルの手動OTP入力を求められずにコードオブジェクトに署名する方法について。
- 〜へ向かう eSignerCodeSignツールコマンドガイド サポートされているコマンド、オプション、およびパラメーターについて詳しく知るため。
特定の CI/CD サービス統合ガイド
以下は、最も一般的な CI/CD プラットフォームで eSigner を使用してコード署名を自動化する方法に関する具体的なガイドです。
- クラウド コード署名と CircleCI の統合
- Cloud Code Signing と GitHub Actions の統合
- クラウド コード署名と GitLab CI の統合
- Cloud Code Signing と Travis CI の統合
- Jenkins CI との Cloud Code Signing 統合
- クラウド コード署名と Azure DevOps の統合
- クラウド コード署名と BitBucket の統合
記事を読んで、クラウドベースのコード署名の価値について詳しく学んでください。 CI/CD サービスによるクラウド コード署名の自動化。
サンドボックスでのEVコード署名のテスト
SSL.comは、eSignerクラウド署名サービス用に個別の「サンドボックス」環境を維持しているため、ユーザーはライブで作業する前にさまざまなアプリ、ユーティリティ、APIを試すことができます。 EVコード署名 証明書。
<
ul>
- 私たちに向かう ハウツー記事 これには、eSignerデモの資格情報、QRコード、および構成情報が含まれており、 eSignerExpressサンドボックス, コード署名ツール, CCS, コード署名.
- サンドボックスアカウントを設定し、テストオーダーを作成し、SSL.comのSWS APIでサンドボックスを使用する方法の完全なガイドについては、ガイド記事を読むことができます。 テストと統合のためのSSL.comサンドボックスの使用.
特定の環境ガイド
SSL.com の EV Code Signing 証明書は、さまざまなコード署名環境で使用できます。 特定のガイドについては、以下の記事を参照してください。
- OV/IVまたはEVコード署名証明書を使用してJavaコードに署名する
- EV または OV コード署名証明書を使用した Windows 用カーネル モード ドライバーの署名
- FAQ:カーネルモードのコード署名証明書
- LinuxコマンドラインからのJsignを使用したOV/IVコード署名とEVコード署名
- Azure Key Vaultに保存されている証明書を使用した、AzureDevOpsによるコード署名
上記のほかに、SSL.comコード署名証明書と互換性のある環境が他にもあります。 コンタクト お問い合わせ または、他の環境に関する質問については、Webサイトのチャットを使用してください。
ご注意SSLコード署名証明書の秘密鍵はエクスポートできません。また、証明書をダウンロード可能な.pfxファイルとして発行することもできません。証明書は、FIPS 140-2認証済みのYubiKey USBトークン、SSLのeSignerクラウド署名サービス、またはサポートされているクラウドHSMなど、承認された安全な方法を使用して生成および保存する必要があります。
SSL.com セールスチームにお問い合わせください
すべてのコード署名オプションについて説明したり、カスタム統合、大量取引、見積もり、その他のカスタム ソリューションについて話し合ったりする必要がある場合は、いつでも当社の営業チーム (sales@ssl.com) にお問い合わせいただくか、以下のフォームにご記入ください。
