SSL.com などの認証局は最近、コード署名証明書のキー保管基準を強化し、物理的な USB トークンまたは準拠したハードウェア セキュリティ モジュール (HSM) に証明書の秘密キーを保管することを義務付けています。
1 年 2023 月 XNUMX 日以降、すべての SSL.com コード署名証明書は、ダウンロード可能な pfx ファイルとして発行されなくなりました。この変更は、認証局/ブラウザ (CA/B) フォーラムの準拠しています。 新しいキーストレージ要件 コード署名キーのセキュリティを強化します。以前のルールでは、組織検証 (OV) および個人検証 (IV) のコード署名証明書をダウンロード可能なファイルとして発行することができました。新しい要件では、証明書と秘密キーを保存するために、暗号化された USB トークンまたはクラウドベースの FIPS 準拠のハードウェア アプライアンスの使用のみが許可されるため、悪意のある攻撃者によってコード署名キーが盗まれたり、悪用されたりする事例が大幅に減少すると予想されます。
USB トークンの使用には最新の CI/CD パイプラインとの統合に課題があり、オフィスでの物理 HSM の管理は面倒な場合がありますが、効率的な代替手段が存在します。 Google Cloud は、HSM サービスで 140 つのキー スロットをレンタルするという実用的なソリューションを提供しています。このアプローチはコスト効率が高いだけでなく、最新の FIPS 2-2 レベル XNUMX コンプライアンス標準にも準拠しており、物理デバイス管理の必要性をすべて排除します。この記事では、この中間ソリューションのセットアップ プロセスについて説明します。
SSL.com の EV コード署名証明書 ソフトウェアコードにデジタル署名することで世界中で信頼されています 安全なデジタル署名付き。
クラウドベースの HSM を使用したコード署名プロセスを理解する
クラウドベースのハードウェア セキュリティ モジュール (HSM) を利用したコード署名手順の本質を理解するには、次のコンポーネントを調べると役立ちます。- コード署名証明書: ソフトウェア開発者がソフトウェア、スクリプト、および実行可能ファイルにデジタル署名するために使用する、信頼できる認証局 (CA) によって発行されたデジタル証明書。この証明書は、開発者または発行者の身元を検証するデジタル署名として機能し、コードが最初に署名されてから変更または侵害されていないことを保証します。
- Google Cloud: コード署名プロセスで使用される暗号鍵を安全に生成および管理するためのインフラストラクチャなど、安全なソフトウェアの開発とデプロイをサポートするサービスを提供します。
- キー保護のための Google Cloud HSM: Google Cloud インフラストラクチャ内に組み込まれた堅牢なハードウェア セキュリティ モジュールで、不正アクセスから秘密キーを保護することに特化しています。
- 署名ツール: ソフトウェア プログラムやアプリケーションにデジタル署名するために設計されたソフトウェア アプリケーションまたはユーティリティ。このデジタル署名は、開発者または発行者によって署名されて以来、ソフトウェアが変更または侵害されていないことをエンドユーザーに保証します。
- タイムスタンプ局 (TSA): 信頼できるサードパーティのサービスで、通常は認証局 (CA) によって管理され、署名に使用されたデジタル証明書の有効期間内にコードが署名されたことを証明する役割を果たします。後で期限切れになるか取り消されます。
Googleクラウドアカウントの登録
セットアップを構成する最初のステップには、次のアカウントを確立する必要があります。 Google Cloud Platform。アカウントがアクティブになったら、新しいプロジェクトを作成する必要があります。 課金を有効にする。セットアップを続行するには、支払い情報の提供が必要です。キーペアを生成し、 CSR、および証明書ステートメント
コード署名証明書またはアドビの信頼できる文書署名証明書を発行する前に、SSL.com では、顧客の秘密署名キーが FIPS 140-2 レベル 2 (またはそれ以上) で認定されたデバイス上で生成され、そのデバイス内に安全に格納されていることを確認する必要があります。このデバイスはキーが抽出できないことを保証し、この保護を検証することをアテステーションと呼びます。 Google の Cloud HSM は、Marvell (以前は Cavium) 製のデバイスを利用し、暗号キーの署名付き証明書ステートメントを生成できます。 SSL.com は、文書署名またはコード署名証明書を発行する前に、これらのステートメントを検証できます。キー ペアと証明書ステートメントの生成に関するガイダンスについては、Google の Cloud Key Management ドキュメントを参照してください。 キーペアを取得したら、 CSR、および証明書ステートメントの準備ができたら、検証と証明書の発行のために SSL.com に送信します。の オープンソースツール GitHub ユーザーによる マット を作成するため CSR Google Cloud HSM の秘密鍵を使用して署名すると、特に便利です。 SSL.com では、Google Cloud HSM 構成証明に $500.00 USD の料金を請求します。さらに、年間最大署名操作に応じて、クラウド HSM プラットフォームで使用される証明書に対してさまざまな価格レベルを提供します。詳細な価格情報については、当社のウェブサイトを参照してください。 クラウドHSMの価格階層 ガイド。 証明は次を使用して実行できます。 BYOA HSM 所有者が SSL.com のサービスを使用しないキー生成構成証明を選択した場合の (Bring Your Own Auditor) 方式。この方法は、SSL.com の証明書の対象外であっても、準拠する HSM のあらゆる鍵生成セレモニー (KGC) に適用できます。 BYOA では、キーが拒否されるリスクを回避するために細心の注意を払った準備が必要です。このような問題により儀式を繰り返す必要があり、追加の費用と遅延が発生します。これらの問題を防ぐために、SSL.com のカスタマー サポートおよび検証スペシャリストは、KGC の前に積極的に顧客を指導します。コード署名証明書を注文する
すべての SSL.com コード署名証明書は 1 ~ 3 年の期間で購入でき、期間が長くなると割引が適用されるだけでなく、期間が長い証明書については検証プロセスを XNUMX 回行うだけで済むという利便性が得られます。 次のリンク先の記事では、コード署名証明書を注文し、これらのオプションに移動する方法について詳しく説明します。 コードおよびドキュメント署名証明書の注文プロセス. カスタム ソリューション、大量割引、外部 HSM オプション、公式見積もり、その他のガイダンスについては、お問い合わせください。 sales@ssl.comまでご連絡ください。審査プロセスを受けて証明書を取得してください
キーペアを生成する以外に、 CSR、および証明書ステートメントでは、コード署名証明書を取得する前に、SSL.com では特定の文書と登録情報が必要です。次のリンク先の記事で、審査プロセスについて詳しく説明します。 ドキュメント署名、コード署名、EV コード署名証明書の検証プロセス.SSL.com の EV コード署名証明書 ソフトウェアコードにデジタル署名することで世界中で信頼されています 安全なデジタル署名付き。
