SSL.com과 같은 인증 기관은 최근 코드 서명 인증서에 대한 키 저장 표준을 강화하여 이제 인증서의 개인 키를 물리적 USB 토큰 또는 호환 하드웨어 보안 모듈(HSM)에 저장하도록 의무화했습니다.
1년 2023월 XNUMX일부터 모든 SSL.com 코드 서명 인증서는 다운로드 가능한 pfx 파일로 발급되지 않습니다. 이 변경 사항은 CA/B(인증 기관/브라우저) 포럼의 규정을 준수합니다. 새로운 키 스토리지 요구 사항 코드 서명 키의 보안을 강화합니다. 이전 규칙에서는 OV(조직 유효성 검사) 및 IV(개별 유효성 검사) 코드 서명 인증서를 다운로드 가능한 파일로 발급할 수 있었습니다. 새로운 요구 사항에서는 암호화된 USB 토큰 또는 클라우드 기반 FIPS 호환 하드웨어 어플라이언스를 사용하여 인증서와 개인 키를 저장하는 것만 허용하므로 악의적인 행위자가 코드 서명 키를 도난당하고 오용하는 사례가 크게 줄어들 것으로 예상됩니다.
USB 토큰을 사용하면 최신 CI/CD 파이프라인과 통합하고 사무실에서 물리적 HSM을 관리하는 것이 번거로울 수 있지만 효율적인 대안이 있습니다. Google Cloud는 HSM 서비스에서 단일 키 슬롯을 임대하는 실용적인 솔루션을 제공합니다. 이 접근 방식은 비용 효율적일 뿐만 아니라 최신 FIPS 140-2 레벨 2 규정 준수 표준을 준수하는 동시에 물리적 장치 관리가 필요하지 않습니다. 이 문서에서는 이 중간 솔루션의 설정 과정을 안내합니다.
SSL.com의 EV 코드 서명 인증서 소프트웨어 코드에 디지털 서명을 하도록 전 세계적으로 신뢰받고 있습니다. 안전한 디지털 서명으로.
클라우드 기반 HSM을 사용한 코드 서명 프로세스 이해
클라우드 기반 HSM(하드웨어 보안 모듈)을 활용하는 코드 서명 절차의 본질을 파악하려면 구성 요소를 검토하는 것이 유용합니다.- 코드 서명 인증서: 소프트웨어 개발자가 소프트웨어, 스크립트 및 실행 파일에 디지털 서명을 하는 데 사용하는 신뢰할 수 있는 인증 기관(CA)에서 발행한 디지털 인증서입니다. 이 인증서는 개발자 또는 게시자의 신원을 확인하고 코드가 원래 서명된 이후 변경되거나 손상되지 않았음을 확인하는 디지털 서명 역할을 합니다.
- Google Cloud: 코드 서명 프로세스에 사용되는 암호화 키를 안전하게 생성하고 관리하기 위한 인프라를 포함하여 안전한 소프트웨어 개발 및 배포를 지원하는 서비스를 제공합니다.
- 키 보호를 위한 Google Cloud HSM: Google Cloud 인프라 내에 탑재된 강력한 하드웨어 보안 모듈로, 무단 액세스로부터 개인 키를 보호하는 데 전념합니다.
- 서명 도구: 소프트웨어 프로그램 및 응용 프로그램에 디지털 서명을 하도록 설계된 소프트웨어 응용 프로그램 또는 유틸리티입니다. 이 디지털 서명은 개발자나 게시자가 서명한 이후 소프트웨어가 변경되거나 손상되지 않았음을 최종 사용자에게 보장합니다.
- TSA(Time Stamping Authority): 일반적으로 인증 기관(CA)에서 관리하는 신뢰할 수 있는 제3자 서비스로, 인증서가 유효하지 않은 경우에도 서명에 사용된 디지털 인증서의 유효 기간 동안 코드가 서명되었음을 증명하는 작업을 수행합니다. 나중에 만료되거나 취소됩니다.
Google 클라우드 계정 등록
설정 구성의 첫 번째 단계는 계정을 설정하는 것입니다. Google Cloud Platform. 계정이 활성화되면 새 프로젝트를 생성하고 결제 활성화. 설정을 진행하려면 결제 정보를 제공해야 합니다.키 쌍을 생성하고, CSR및 증명문
코드 서명 또는 Adobe가 신뢰하는 문서 서명 인증서를 발급하기 전에 SSL.com에서는 고객의 개인 서명 키가 FIPS 140-2 레벨 2(또는 그 이상) 인증 장치에서 생성되었고 안전하게 포함되어 있는지 확인해야 합니다. 이 장치는 키를 추출할 수 없도록 보장하며 이러한 보호를 확인하는 것을 증명이라고 합니다. Marvell(이전 Cavium) 제조 장치를 활용하는 Google Cloud HSM은 암호화 키에 대해 서명된 증명문을 생성할 수 있습니다. SSL.com은 문서 서명 또는 코드 서명 인증서를 발급하기 전에 이러한 진술을 확인할 수 있습니다. 키 쌍 및 증명문 생성에 대한 지침은 Google의 Cloud Key Management 문서를 참조하세요. 키 쌍이 있으면 CSR, 증명서가 준비되면 SSL.com에 제출하여 확인 및 인증서 발급을 받으세요. 그만큼 오픈 소스 도구 GitHub 사용자에 의해 매트 만들기 위해 CSR Google Cloud HSM의 비공개 키를 사용하여 서명하는 것이 특히 유용할 수 있습니다. SSL.com은 Google Cloud HSM 증명에 대해 $500.00 USD의 수수료를 청구합니다. 또한 연간 최대 서명 작업 수에 따라 클라우드 HSM 플랫폼에 사용되는 인증서에 대한 다양한 가격 수준을 제공합니다. 자세한 가격 정보는 당사를 참조하세요. Cloud HSM 가격 책정 계층 안내서. 증명은 다음을 사용하여 수행할 수 있습니다. 뱌아 (Bring Your Own Auditor) HSM 소유자가 SSL.com 서비스 없이 키 생성 증명을 선택한 경우의 방법입니다. 이 방법은 SSL.com의 증명이 적용되지 않는 경우에도 호환 HSM의 모든 KGC(키 생성 행사)에 적용할 수 있습니다. BYOA는 키 거부 위험을 피하기 위해 세심한 준비를 요구합니다. 이러한 문제로 인해 행사를 반복해야 하고 추가 비용과 지연이 발생합니다. 이러한 문제를 방지하기 위해 SSL.com의 고객 지원 및 검증 전문가는 KGC 이전에 고객을 적극적으로 안내합니다.코드 서명 인증서 주문
모든 SSL.com 코드 서명 인증서는 1~3년 기간으로 구매할 수 있으며 더 긴 기간 동안 할인을 받을 수 있을 뿐만 아니라 더 긴 기간의 인증서에 대해 검증 프로세스를 한 번만 거치면 되는 편리함도 있습니다. 다음 링크된 문서에서는 코드 서명 인증서를 주문하고 이러한 옵션을 탐색하는 방법을 자세히 설명합니다. 코드 및 문서 서명 인증서 주문 절차. 맞춤형 솔루션, 대량 할인, 외부 HSM 옵션, 공식 견적 또는 기타 지침은 문의하십시오. sales@ssl.com으로 이메일을 보내주세요.인증서를 받으려면 심사 과정을 거쳐야 합니다.
키 쌍을 생성하는 것 외에도 CSR및 증명 진술서에 따르면 SSL.com에서는 코드 서명 인증서를 받기 전에 특정 문서와 등록 정보가 필요합니다. 다음 링크된 문서에서는 심사 과정을 자세히 설명합니다. 문서 서명, 코드 서명 및 EV 코드 서명 인증서에 대한 유효성 검사 프로세스.SSL.com의 EV 코드 서명 인증서 소프트웨어 코드에 디지털 서명을 하도록 전 세계적으로 신뢰받고 있습니다. 안전한 디지털 서명으로.