Code Signing-certificaten, Cloud Signing-opties en integratie van ondertekeningsbewerkingen

Wat is een Code Signing-certificaat?

Een code-ondertekeningscertificaat is een digitaal certificaat dat een wereldwijd geaccepteerd identiteitsbewijs van een software-uitgever levert en verkrijgbaar is bij een gerenommeerde certificeringsinstantie (CA) zoals SSL.com. Softwarebedrijven gebruiken certificaten voor het ondertekenen van codes om te bewijzen dat zij de ontwikkelaars van een applicatie zijn. 

Code-ondertekeningscertificaten voorkomen ook manipulatie van code en zorgen ervoor dat een bestand vrij is van ongeautoriseerde wijzigingen, malware en veilig kan worden geïnstalleerd. Code-ondertekeningscertificaten zijn een essentiële beveiligingsfunctie wanneer software online wordt gedistribueerd, verkocht en gedownload.  Uw code digitaal ondertekenen met vertrouwde SSL.com-certificaten laten gebruikers en besturingssystemen weten dat uw software authentiek is en veilig kan worden geïnstalleerd. U kunt altijd contact opnemen met onze verkoop team om deze opties toe te lichten en een offerte te maken.
Certificaat voor code-ondertekening nodig? SSL.com heeft opties om aan al uw behoeften te voldoen, lees meer over onze certificaten.

Het juiste Code Signing-certificaat kiezen

Organisatie Validatie (OV) en Individuele Validatie (IV) certificaten worden High Assurance certificaten genoemd omdat ze meer validatie vereisen en dus meer vertrouwen geven. Voor OV- en IV-certificaten verifieert de CA de feitelijke organisatie of individuele persoon die probeert het certificaat te verkrijgen. De naam van de organisatie of persoon wordt ook vermeld in het certificaat, wat extra vertrouwen geeft dat de certificaathouder een goede naam heeft. OV-certificaten worden vaak gebruikt door bedrijven, overheden en andere entiteiten die hun bezoekers een extra laag vertrouwen willen geven. Afgezien van SSL/TLS certificaten, OV en IV worden ook veel gebruikt voor code ondertekening, document ondertekening, client authenticatie en S/MIME e-mail certificaten. Voor meer informatie over de vereisten verwijzen wij u naar SSL.com's OV- en IV-vereisten. Het Individual Validation (IV) Code Signing-certificaat past digitale handtekeningen toe met een persoonlijke naam, perfect voor onafhankelijke softwareontwikkelaars en individuele projectmedewerkers die het vertrouwen van hun gebruikers willen vergroten.  EV-certificaten, ook wel bedrijfscode-ondertekeningscertificaten genoemd, bieden bezoekers het maximale vertrouwen en vereisen ook de meeste inspanning van de CA om te valideren. EV-certificaten mogen alleen worden afgegeven aan bedrijven en andere geregistreerde organisaties, niet aan particulieren. SSL.com Eenmanszaak EV Code Signing-certificaten voegen de identiteit van een persoon toe aan het standaard EV Code Signing-certificaat. Met deze validatieoptie kan een eenmanszaak of een individuele bijdrager hun naam opnemen in de digitale handtekening. De validatieoptie voor eenmanszaak is ook voor bedrijven die een extra beveiligingslaag nodig hebben door de gevalideerde identiteit van een persoon in de digitale handtekening op te nemen. Om meer te weten te komen over de kenmerken van deze certificaten, kunt u ons artikel lezen,  Welk Code Signing-certificaat heb ik nodig? EV of OV? In een oogopslag worden de bepalende kenmerken van OV- en EV-certificaten voor het ondertekenen van code hieronder opgesomd.

IV Code Signing Certificaat:

  • Past digitale handtekeningen toe met een persoonlijke naam
  • Perfect voor onafhankelijke softwareontwikkelaars en individuele projectmedewerkers

OV Code Signing Certificaat:

  • Verifieert uw identiteit als de software-uitgever
  • Beschermt uw software tegen manipulatie en malware-infectie

EV Code Signing-certificaat:

  • Mogelijkheid om zowel pre-Windows 10- als Windows 10-stuurprogramma's te ondertekenen
  • Onmiddellijke reputatie van Microsoft SmartScreen
  • Niet-verlopen van handtekening en tijdstempel
  •  Mogelijkheid om in de cloud te ondertekenen met eSigner
  • Eenmanszaak EV Code Signing-certificaten voegen de identiteit van een persoon toe aan het standaard EV Code Signing-certificaat

Uw SSL.com-account instellen en gebruiken

Als je dat nog niet hebt gedaan, begin dan met een account aanmaken op SSL.com. Uw account heeft de mogelijkheid om meerdere teams te maken en meerdere gebruikers uit te nodigen met specifieke rol- en rechtentoewijzingen.

Het validatieproces

Om een ​​OV- of IV-certificaat te valideren en af ​​te geven, moet SSL.com uw identiteit, fysiek adres en telefoonnummer verifiëren via verifieerbare online bronnen en/of geldige verificatiedocumenten. Voor meer informatie over de vereisten, kunt u lezen: Wat zijn de vereisten voor SSL.com OV- en IV-certificaten?  Bovendien moeten aanvragers voor bestellingen van IV Code Signing-certificaten een voor- en achterkant van een ID indienen, plus een afbeelding van hen met het ID naast hun gezicht. Volgens de richtlijnen van het CA/Browser Forum moet er extra documentatie worden aangeleverd om een ​​EV-certificaat af te geven. Ga naar FAQ: Extended Validation (EV) -proces om alle vereisten voor EV-certificaten te kennen. Voor entiteiten die om EV Code Signing-certificaten, SSL.com zal valideren via zowel vertrouwde online bronnen en/of geldige documenten als extra documentatie volgens de richtlijnen die zijn opgesteld door het CA/Browser Forum.  

Nieuwe vereisten voor sleutelopslag voor OV- en IV Code Signing-certificaten

Vanaf 1 juni 2023, SSL.com De certificaten voor organisatievalidatie (OV) en individuele validatie (IV) voor codeondertekening worden alleen uitgegeven op USB-tokens volgens de Federal Information Processing Standard 140-2 (FIPS 140-2) of via onze eSigner-cloudcodeondertekeningsservice. Deze wijziging is in overeenstemming met de nieuwe vereisten voor sleutelopslag van het CA/B-forum (Certificate Authority/Browser) om de beveiliging van codeondertekeningssleutels te verbeteren. De vorige regel stond toe dat OV- en IV-codeondertekeningscertificaten werden uitgegeven als downloadbare bestanden van internet. Aangezien de nieuwe vereisten alleen het gebruik van gecodeerde USB-tokens of cloudgebaseerde FIPS-compatibele hardware-apparaten toestaan ​​om het certificaat en de privésleutel op te slaan, wordt verwacht dat het aantal gevallen van code-ondertekeningssleutels die worden gestolen en misbruikt door kwaadwillende actoren aanzienlijk zal worden verminderd. Klik deze link om meer te leren over de SSL.com eSigner-oplossing voor het ondertekenen van cloudcodes.

Sleutelopslag en ondertekeningsmethoden voor certificaten voor het ondertekenen van uitgebreide validatiecodes 

USB-token

De meest gebruikelijke benadering voor het ondertekenen van EV-codes is het gebruik van een Hardware Security Module (HSM) zoals een USB-token dat het EV Code Signing-certificaat opslaat en fungeert als een sleutel bij het ondertekenen van softwarecode. Vergeleken met het opslaan van het certificaat op een lokale computer, scoort een USB-token goed op handheld-beveiliging en draagbaarheid. Een beperking is echter dat het vrij duur kan zijn om meerdere tokens te kopen en te beheren en ze zijn niet zo flexibel in vergelijking met cloudgebaseerde opties.  SSL.com biedt veilige opslag van privésleutels en fysieke 2FA-beveiliging met een Yubikey FIPS USB-token. Dit USB-apparaat voegt bescherming tegen sabotage toe aan uw software, omdat alleen personen die het daadwerkelijk in bezit hebben, een code voor uw toepassingen of programma's digitaal mogen ondertekenen.

Cloud-HSM

Een tweede optie voor EV-codeondertekening is het gebruik van een netwerk-HSM in de cloud om certificaten en sleutels voor codeondertekening te hosten. Deze methode biedt een vergelijkbaar beveiligingsniveau als een USB-token, aangezien de privésleutels ook niet kunnen worden geëxporteerd. Omdat code-ondertekening via de cloud wordt uitgevoerd, wordt een schaalbare samenwerking tussen ontwikkelaars bereikt. Er moet echter worden opgemerkt dat deze methode mogelijk expertise vereist bij de specifieke cloudserviceprovider. Voor de uitgifte van EV-certificaten voor het ondertekenen van code ondersteunt SSL.com drie Cloud HSM's: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM en Google Cloud HSM. Voor meer informatie over elk artikel kunt u ons gidsartikel lezen: Ondersteunde cloud-HSM's voor documentondertekening en EV-codeondertekening.
  • Om te weten hoe u uw HSM-account kunt gebruiken en een professional kunt inhuren voor Cloud HSM Attestation, kunt u ons artikel lezen Breng uw eigen auditor Cloud HSM-attest mee.
  • SSL.com ontwikkelt en test momenteel attestatieprocedures voor een breed scala aan HSM-platforms. Dit kun je invullen aanvraagformulier om erachter te komen of we een HSM-platform testen dat hierboven niet is vermeld.

eSigner: codeondertekening als een service

Ten derde, een moderne en zeer handige benadering van EV Code Signing is het omgaan met codesigning als een service. De eSigner-service voor het ondertekenen van cloudcodes van SSL.com is een voorbeeld van deze methode.  Met eSigner behandelt SSL.com zowel de openbare sleutelinfrastructuur (PKI) en HSM's voor het ondertekenen van codes. De niet-exporteerbare ondertekeningssleutels worden opgeslagen in de HSM's van eSigner, waar noch de klant, noch SSL.com ze kunnen bekijken. Op deze manier is de beveiligingsstandaard even hoog als bij tokens en cloud HSM's, maar hoeft de klant er niet direct mee om te gaan. De eSigner-omgeving bevat een aantal ondertekeningsopties om tegemoet te komen aan de behoeften van een verscheidenheid aan klanten, van individuele ontwikkelaars tot complexe organisaties.

eSigner-ondertekeningsopties

  • Met de eSigner-service van SSL.com kunt u uw SSL.com Extended Validation Code Signing-certificaat gebruiken om code te ondertekenen vanaf elk apparaat met internetverbinding zonder extra hardware. Nadat u uw EV Code Signing-certificaatbestelling in eSigner heeft geregistreerd, kunt u de code ondertekenen met ofwel de: eSigner Express-webapp, eSigner CodeSignTool of via SSL.com's CSC-compliant code-ondertekening-API

Door eSigner ondersteunde bestandstypen

Aan de slag met uw Code Signing-certificaat:

Na ontvangst van uw nieuwe code-ondertekeningscertificaat, heeft u mogelijk vragen over hoe u het moet gebruiken en met welke toepassingen het kan worden geïntegreerd. De gekoppelde handleidingen hieronder beantwoorden veelgestelde vragen die u mogelijk heeft over hoe u aan de slag kunt met uw nieuwe certificaat.

Aan de slag met eSigner Cloud Code Signing

Hieronder vindt u bronnen die u meer informatie kunnen geven over het gebruik van de eSigner-interface en hoe u deze kunt instellen voor teamgerichte taken.

Je Yubikeys gebruiken

Certificaten zoals EV Code Signing besteld bij SSL.com worden geleverd met de optie om vooraf geïnstalleerd te worden in een Hardware Security Module (HSM) zoals een FIPS 140-2 gevalideerde beveiligingssleutel USB-token. Als uw certificaat nog niet is gevalideerd, kunt u het aantal tokens dat u nodig heeft bij het bestellen en voordat u het validatieproces voltooit, opgeven. Als uw certificaat al is uitgegeven, heeft u nog steeds de mogelijkheid om extra tokens te bestellen. Klik op deze handleiding om te weten hoe u Yubikeys aan uw EV Code Signing-certificaat kunt toevoegen: YubiKeys toevoegen aan uw certificaatbestelling Als je al een Yubikey hebt, kun je de volgende handleidingen raadplegen over het gebruik ervan:

Automatisering en integratie

eSigner CKA (Cloud Key-adapter)

  •  eSigner CKA (Cloud Key-adapter) is een op Windows gebaseerde applicatie die gebruikmaakt van de CNG-interface (KSP Key Service Provider) zodat tools zoals certutil.exe en signtool.exe de eSigner CSC kunnen gebruiken voor geautomatiseerde code-ondertekening. eSigner CKA werkt als een virtuele USB-token en laadt de code-ondertekeningscertificaten naar het certificaatarchief. 

eSigner en CodeSignTool voor het automatisch ondertekenen van EV-codes

  • CodeSignTool is ideaal voor geautomatiseerde batchprocessen voor ondertekening van grote volumes of integratie in bestaande CI/CD-pijplijnworkflows.
  • Lees onze CodeSignTool-gids over hoe u code-objecten kunt ondertekenen zonder dat u wordt gevraagd om handmatige OTP-invoer voor elk bestand.
  • Ga dan naar eSigner CodeSign Tool-opdrachtgids om meer te weten te komen over ondersteunde opdrachten, opties en parameters.

Specifieke CI/CD-service-integratiehandleidingen

Hieronder vindt u specifieke handleidingen voor het automatiseren van het ondertekenen van codes met eSigner voor de meest populaire CI/CD-platforms. Lees ons artikel voor meer informatie over de waarde van cloudgebaseerde code-ondertekening: Cloud Code Signing-automatisering met CI/CD-services.

EV-codeondertekening testen in de sandbox

SSL.com onderhoudt een aparte "sandbox"-omgeving voor onze eSigner-cloudondertekeningsservice, zodat gebruikers kunnen experimenteren met de verschillende apps, hulpprogramma's en API's voordat ze met live gaan werken EV Code-ondertekening certificaten.

Specifieke omgevingsgidsen

De EV Code Signing-certificaten van SSL.com kunnen in verschillende omgevingen voor codesigning worden gebruikt. Raadpleeg de onderstaande artikelen voor specifieke handleidingen:  Afgezien van de hierboven genoemde, zijn er meer omgevingen waarmee SSL.com-certificaten voor codeondertekening compatibel zijn. Contact support@ssl.com of gebruik de websitechat voor vragen over andere omgevingen.

Neem contact op met de verkoop of neem contact op met ondersteuning

Als je iemand nodig hebt om je door al onze code-ondertekeningsopties te leiden, aangepaste integraties, grootschalige deals, offertes of andere aangepaste oplossingen te bespreken, kun je altijd contact opnemen met onze verkoop- of ondersteuningsteams.

Contactformulier

Twitter
Facebook
LinkedIn
Reddit
E-mail

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.