コード署名証明書とは何ですか?
コード署名証明書は、ソフトウェア発行者の身元を証明する世界的に認められたデジタル証明書であり、SSL.comなどの信頼できる認証局(CA)から入手できます。 ソフトウェア会社は、コード署名証明書を使用して、アプリケーションの開発者であることを証明します。 コード署名証明書は、コードの改ざんを防ぎ、ファイルに不正な変更やマルウェアがなく、安全にインストールできるようにします。 コード署名証明書は、ソフトウェアがオンラインで配布、販売、およびダウンロードされる場合に不可欠なセキュリティ機能です。 コードにデジタル署名する 信頼できるSSL.com証明書を使用すると、ユーザーとオペレーティングシステムは、ソフトウェアが本物で安全にインストールできることを知ることができます。 あなたはいつでも私たちに連絡することができます セールスチーム これらのオプションを説明し、見積もりを提供します。コード署名証明書が必要ですか? SSL.comには、ニーズに合わせてオプションがあります。 証明書の詳細.
適切なコード署名証明書の選択
組織検証(OV)および個人検証(IV)証明書は、より多くの検証を必要とし、したがってより多くの信頼を提供するため、高保証証明書と呼ばれます。 OVおよびIV証明書の場合、CAは、証明書を取得しようとしている実際の組織または個人を確認します。 組織または個人の名前も証明書に記載されており、証明書の所有者が信頼できるという信頼がさらに高まります。 OV証明書は、訪問者にさらなる信頼を提供したい企業、政府、およびその他のエンティティによってよく使用されます。 SSL/以外TLS 証明書、OVおよびIVは、 コード署名, 文書の署名, クライアント認証, S/MIME 電子メール証明書。 要件の詳細については、SSL.comのを参照してください。 OVおよびIVの要件. 個人検証(IV)コード署名証明書は、個人名のデジタル署名を適用します。これは、ユーザーからの信頼と信頼を高めたい独立したソフトウェア開発者や個々のプロジェクト貢献者に最適です。 エンタープライズ コード署名証明書とも呼ばれる EV 証明書は、訪問者に最大限の信頼を提供し、CA による検証に最も多くの労力を必要とします。 EV 証明書は、企業やその他の登録組織にのみ発行でき、個人には発行できません。 SSL.comの個人事業EVコード署名証明書は、標準のEVコード署名証明書に個人のIDを追加します。 この検証オプションにより、個人事業主または個人の寄稿者がデジタル署名に自分の名前を含めることができます。 個人事業主の検証オプションは、個人の検証済みIDをデジタル署名に含めることにより、セキュリティの追加レイヤーを必要とする企業向けでもあります。 これらの証明書の機能について詳しくは、次の記事をご覧ください。 どのコード署名証明書が必要ですか? EVまたはOV? 一目で、OVおよびEVコード署名証明書の定義機能を以下に示します。IVコード署名証明書:
- 個人名のデジタル署名を適用します
- 独立したソフトウェア開発者や個々のプロジェクトの貢献者に最適
OVコード署名証明書:
- ソフトウェア発行者としての身元を確認します
- ソフトウェアを改ざんやマルウェア感染から保護します
EVコード署名証明書:
- Windows10以前のドライバーとWindows10ドライバーの両方に署名する機能
- インスタントMicrosoft SmartScreenレピュテーション
- 署名とタイムスタンプの有効期限が切れていない
- eSignerを使用してクラウドにサインオンする機能
- 個人事業EVコード署名証明書は、標準のEVコード署名証明書に個人のIDを追加します
SSL.comアカウントの設定と使用
まだ行っていない場合は、 SSL.comでアカウントを作成する。 アカウントには、複数のチームを作成する機能と、特定の役割と権限を割り当てられた複数のユーザーを招待する機能があります。検証プロセス
OVまたはIV証明書を検証して発行するには、SSL.comは、検証可能なオンラインリソースや有効な検証ドキュメントを介して、ID、住所、電話番号を検証する必要があります。 要件の詳細については、以下をお読みください。 SSL.com OVおよびIV証明書の要件は何ですか? さらに、IVコード署名証明書の注文の場合、申請者はIDの表と裏の画像に加えて、顔の横にIDを保持している画像を提出する必要があります。 CA /ブラウザフォーラムによって設定されたガイドラインに従って、EV証明書を発行するために追加のドキュメントを提供する必要があります。 に向かいます FAQ:Extended Validation(EV)プロセス EV証明書のすべての要件を知るため。 EV コード署名証明書を要求する組織の場合、SSL.com は、信頼できるオンライン リソースや有効なドキュメント、および CA/ブラウザ フォーラムによって設定されたガイドラインに従った追加のドキュメントの両方を通じて検証を実施します。OVおよびIVコード署名証明書の新しいキーストレージ要件
1年2023月XNUMX日以降、 SSL.com の組織検証 (OV) および個人検証 (IV) コード署名証明書は、連邦情報処理規格 140-2 (FIPS 140-2) USB トークンまたは eSigner クラウド コード署名サービスを通じてのみ発行されます。 この変更は、コード署名キーのセキュリティを強化するための認証局/ブラウザ (CA/B) フォーラムの新しいキー ストレージ要件に準拠しています。 以前のルールでは、OV および IV コード署名証明書をインターネットからダウンロード可能なファイルとして発行することが許可されていました。 新しい要件では、証明書と秘密キーを保存するために、暗号化された USB トークンまたはクラウドベースの FIPS 準拠のハードウェア アプライアンスの使用のみが許可されるため、悪意のある攻撃者によってコード署名キーが盗まれたり、悪用されたりする事例が大幅に減少すると予想されます。 クリック このリンク 詳細については SSL.com eSigner クラウド コード署名ソリューション。ExtendedValidationCode署名証明書の主要な保存および署名方法
USBトークン
SSL.com は、Yubikey FIPS トークンと Thales SafeNet (Gemalto) USB トークンにプリインストールされたコード署名証明書を出荷します。 Thales SafeNet トークンは、カーネル モード署名に不可欠であり、Microsoft システムのドライバー署名などの特定のソフトウェア開発環境の前提条件である最大 3072 ビットの RSA キーを処理できます。 Through a procedure known as remote attestation, customers of SSL.com, regardless of their location, can create a key pair directly on their YubiKey along with an attestation certificate that verifies the private key’s generation on the device. The attestation certificate can subsequently be used to renew an expired certificate that is in the Yubikey. Support for remote attestation is one feature that is currently not available for Thales token customers. For a more detailed comparison between the features of Yubikeys and Thales SafeNet tokens, please refer to this SSL.com article: Yubikey FIPS トークンと Thales/Gemalto USB トークンの比較. Both Yubikey and Thales SafeNet tokens are designed to boost security without substantially compromising user experience. The choice between them should be guided by the organization’s security approach and operational needs. However, as physical devices, they can be lost or stolen, posing significant security risks and potentially incurring high replacement costs. In a modern remote work setting, the logistics of distributing and maintaining these hardware tokens can pose significant challenges for IT teams, requiring notable expenses and manpower. Additionally, these tokens do not offer the same level of convenience as cloud-based solutions, especially for developers working within a CI/CD pipeline.クラウドHSM
A second option for EV code signing is to use a networked HSM in the cloud to host code signing certificates and keys. This method offers a comparable level of security as a USB token when the HSM is configured to have non-exportable keys during the key generation. With the key material accessible in the cloud, integration with CI/CD services becomes easier as does team collaboration with the same certificate and key material. It should be noted that this method may require expertise with the particular cloud service provider. For the issuance of code signing certificates, SSL.com supports various Cloud HSMs, including Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM, and Google Cloud HSM. To get more details on each one, you can read our guide: ドキュメント署名とEVコード署名でサポートされるCloud HSM.- HSMアカウントを使用して、Cloud HSM Attestationの専門家を雇う方法を知るには、記事を読むことができます。 独自のAuditorCloudHSMアテステーションを持参してください.
- SSL.comは現在、さまざまなHSMプラットフォームの認証手順を開発およびテストしています。 あなたはこれに記入することができます お問い合わせフォーム 上記にリストされていないHSMプラットフォームをテストしているかどうかを確認します。
eSigner:サービスとしてのコード署名
第三に、EV コード署名に対する最新の非常に便利なアプローチは、コード署名をサービスとして扱うことです。 SSL.com の eSigner クラウド コード署名サービスは、この方法の一例です。 eSignerを使用すると、SSL.comは両方の公開鍵インフラストラクチャを処理します(PKI)およびコード署名用のHSM。 エクスポートできない署名キーはeSignerのHSMに保存され、顧客もSSL.comもそれらを表示できません。 このように、セキュリティ標準はトークンやクラウドHSMと同じくらい高いですが、クライアントがそれらを直接処理する必要はありません。 eSigner環境には、個々の開発者から複雑な組織まで、さまざまな顧客のニーズに対応するための多数の署名オプションが含まれています。eSigner署名オプション
- SSL.comのeSignerサービスを使用すると、SSL.com Extended Validation Code署名証明書を使用して、追加のハードウェアなしでインターネットに接続されたデバイスからコードに署名できます。 EVコード署名証明書の注文をeSignerに登録した後、次のいずれかを使用してコードに署名できます。 eSignerExpressWebアプリ, 電子署名者 CodeSignTool またはSSL.comのCSC準拠を介して コード署名API.
eSignerがサポートするファイルタイプ
- あなたは私たちのガイドを読むことができます、 eSignerがサポートするファイルタイプ、eSignerExpressおよびeSignerAPIでサポートされているファイルタイプを確認します。
コード署名証明書の使用を開始する:
新しいコード署名証明書を受け取ったときに、その使用方法と統合できるアプリケーションについて質問がある場合があります。 以下のリンクされたガイドは、新しい証明書の使用を開始する方法についての一般的な質問に答えます。- SSL.comからコード署名およびEVコード署名証明書を購入する方法
- Windows10にSSL.comOVコード署名証明書をインストールする方法
- FAQ:EVコード署名証明書の開始
- Windows ハードウェア開発者プログラムに登録して、EV コード署名でドライバーに署名する
- MicrosoftのSignToolおよびSSL.comでOVまたはEVコード署名証明書を使用する方法 SSL Manager
eSignerクラウドコード署名入門
- eSignerのサービス機能
- eSignerに登録する
- 署名サブスクリプションの選択
Yubikeysを使用する
SSL.comから注文されたEVコード署名などの証明書には、FIPS 140-2検証済みセキュリティキーUSBトークンなどのハードウェアセキュリティモジュール(HSM)にプリインストールされているオプションが付属しています。 証明書がまだ検証されていない場合は、注文時および検証プロセスを完了する前に、必要なトークンの数を含めることができます。 証明書がすでに発行されている場合でも、追加のトークンを注文するオプションがあります。 Yubikeys を EV コード署名証明書に追加する方法については、次のガイドをクリックしてください。 証明書の注文にYubiKeysを追加する方法 すでにYubikeyをお持ちの場合は、操作方法について次のガイドを参照してください。- YubiKeyクイックインストラクション
- YubiKeyPINのブロックを解除する方法
- YubikeyFIPSPINとPUKにアクセスする方法
- EVコード署名トークンが空白の場合はどうなりますか?
- YubiKeyにSSL.comルート証明書と中間証明書をインストールする方法
- Yubikeyでキーの生成と認証を行う方法
自動化と統合
eSigner CKA(クラウドキーアダプター)
- eSigner CKA(クラウドキーアダプター) は、CNGインターフェイス(KSPキーサービスプロバイダー)を使用して、certutil.exeやsigntool.exeなどのツールが自動コード署名操作にeSignerCSCを使用できるようにするWindowsベースのアプリケーションです。 eSigner CKAは仮想USBトークンのように機能し、コード署名証明書を証明書ストアにロードします。
自動EVコード署名用のeSignerおよびCodeSignTool
- CodeSignToolは、大量の署名や既存のCI/CDパイプラインワークフローへの統合のための自動バッチプロセスに最適です。
- 私たちを読む CodeSignToolガイド 各ファイルの手動OTP入力を求められずにコードオブジェクトに署名する方法について。
- 〜へ向かう eSignerCodeSignツールコマンドガイド サポートされているコマンド、オプション、およびパラメーターについて詳しく知るため。
特定の CI/CD サービス統合ガイド
以下は、最も一般的な CI/CD プラットフォームで eSigner を使用してコード署名を自動化する方法に関する具体的なガイドです。- クラウド コード署名と CircleCI の統合
- Cloud Code Signing と GitHub Actions の統合
- クラウド コード署名と GitLab CI の統合
- Cloud Code Signing と Travis CI の統合
- Jenkins CI との Cloud Code Signing 統合
- クラウド コード署名と Azure DevOps の統合
- クラウド コード署名と BitBucket の統合
サンドボックスでのEVコード署名のテスト
SSL.comは、eSignerクラウド署名サービス用に個別の「サンドボックス」環境を維持しているため、ユーザーはライブで作業する前にさまざまなアプリ、ユーティリティ、APIを試すことができます。 EVコード署名 証明書。- 私たちに向かう ハウツー記事 これには、eSignerデモの資格情報、QRコード、および構成情報が含まれており、 eSignerExpressサンドボックス, コード署名ツール, CCS, コード署名.
- サンドボックスアカウントを設定し、テストオーダーを作成し、SSL.comのSWS APIでサンドボックスを使用する方法の完全なガイドについては、ガイド記事を読むことができます。 テストと統合のためのSSL.comサンドボックスの使用.
特定の環境ガイド
SSL.com の EV Code Signing 証明書は、さまざまなコード署名環境で使用できます。 特定のガイドについては、以下の記事を参照してください。- OV/IVまたはEVコード署名証明書を使用してJavaコードに署名する
- EV または OV コード署名証明書を使用した Windows 用カーネル モード ドライバーの署名
- FAQ:カーネルモードのコード署名証明書
- LinuxコマンドラインからのJsignを使用したOV/IVコード署名とEVコード署名
- Azure Key Vaultに保存されている証明書を使用した、AzureDevOpsによるコード署名