Wat is een Code Signing-certificaat?
Een codeondertekeningscertificaat is een digitaal certificaat dat een wereldwijd geaccepteerd bewijs van identiteit van een software-uitgever biedt en verkrijgbaar is bij een publiekelijk vertrouwde certificeringsinstantie (CA) zoals SSL.com. Softwarebedrijven gebruiken codeondertekeningscertificaten om te bewijzen dat zij de ontwikkelaars van een applicatie zijn. Code-ondertekeningscertificaten voorkomen ook manipulatie van code en zorgen ervoor dat een bestand vrij is van ongeautoriseerde wijzigingen, malware en veilig kan worden geïnstalleerd. Code-ondertekeningscertificaten zijn een essentiële beveiligingsfunctie wanneer software online wordt gedistribueerd, verkocht en gedownload. Uw code digitaal ondertekenen met vertrouwde SSL.com-certificaten laten gebruikers en besturingssystemen weten dat uw software authentiek is en veilig kan worden geïnstalleerd. U kunt altijd contact opnemen met onze verkoop team om deze opties toe te lichten en een offerte te maken.Certificaat voor code-ondertekening nodig? SSL.com heeft opties om aan al uw behoeften te voldoen, lees meer over onze certificaten.
Het juiste Code Signing-certificaat kiezen
Organisatie Validatie (OV) en Individuele Validatie (IV) certificaten worden High Assurance certificaten genoemd omdat ze meer validatie vereisen en dus meer vertrouwen geven. Voor OV- en IV-certificaten verifieert de CA de feitelijke organisatie of individuele persoon die probeert het certificaat te verkrijgen. De naam van de organisatie of persoon wordt ook vermeld in het certificaat, wat extra vertrouwen geeft dat de certificaathouder een goede naam heeft. OV-certificaten worden vaak gebruikt door bedrijven, overheden en andere entiteiten die hun bezoekers een extra laag vertrouwen willen geven. Afgezien van SSL/TLS certificaten, OV en IV worden ook veel gebruikt voor code ondertekening, document ondertekening, client authenticatie en S/MIME e-mail certificaten. Voor meer informatie over de vereisten verwijzen wij u naar SSL.com's OV- en IV-vereisten. Het Individual Validation (IV) Code Signing-certificaat past digitale handtekeningen toe met een persoonlijke naam, perfect voor onafhankelijke softwareontwikkelaars en individuele projectmedewerkers die het vertrouwen van hun gebruikers willen vergroten. EV-certificaten, ook wel bedrijfscode-ondertekeningscertificaten genoemd, bieden bezoekers het maximale vertrouwen en vereisen ook de meeste inspanning van de CA om te valideren. EV-certificaten mogen alleen worden afgegeven aan bedrijven en andere geregistreerde organisaties, niet aan particulieren. SSL.com Eenmanszaak EV Code Signing-certificaten voegen de identiteit van een persoon toe aan het standaard EV Code Signing-certificaat. Met deze validatieoptie kan een eenmanszaak of een individuele bijdrager hun naam opnemen in de digitale handtekening. De validatieoptie voor eenmanszaak is ook voor bedrijven die een extra beveiligingslaag nodig hebben door de gevalideerde identiteit van een persoon in de digitale handtekening op te nemen. Om meer te weten te komen over de kenmerken van deze certificaten, kunt u ons artikel lezen, Welk Code Signing-certificaat heb ik nodig? EV of OV? In een oogopslag worden de bepalende kenmerken van OV- en EV-certificaten voor het ondertekenen van code hieronder opgesomd.IV Code Signing Certificaat:
- Past digitale handtekeningen toe met een persoonlijke naam
- Perfect voor onafhankelijke softwareontwikkelaars en individuele projectmedewerkers
OV Code Signing Certificaat:
- Verifieert uw identiteit als de software-uitgever
- Beschermt uw software tegen manipulatie en malware-infectie
EV Code Signing-certificaat:
- Mogelijkheid om zowel pre-Windows 10- als Windows 10-stuurprogramma's te ondertekenen
- Onmiddellijke reputatie van Microsoft SmartScreen
- Niet-verlopen van handtekening en tijdstempel
- Mogelijkheid om in de cloud te ondertekenen met eSigner
- Eenmanszaak EV Code Signing-certificaten voegen de identiteit van een persoon toe aan het standaard EV Code Signing-certificaat
Uw SSL.com-account instellen en gebruiken
Als je dat nog niet hebt gedaan, begin dan met een account aanmaken op SSL.com. Uw account heeft de mogelijkheid om meerdere teams te maken en meerdere gebruikers uit te nodigen met specifieke rol- en rechtentoewijzingen.Het validatieproces
Om een OV- of IV-certificaat te valideren en af te geven, moet SSL.com uw identiteit, fysiek adres en telefoonnummer verifiëren via verifieerbare online bronnen en/of geldige verificatiedocumenten. Voor meer informatie over de vereisten, kunt u lezen: Wat zijn de vereisten voor SSL.com OV- en IV-certificaten? Bovendien moeten aanvragers voor bestellingen van IV Code Signing-certificaten een voor- en achterkant van een ID indienen, plus een afbeelding van hen met het ID naast hun gezicht. Volgens de richtlijnen van het CA/Browser Forum moet er extra documentatie worden aangeleverd om een EV-certificaat af te geven. Ga naar FAQ: Extended Validation (EV) -proces om alle vereisten voor EV-certificaten te kennen. Voor entiteiten die EV Code Signing-certificaten aanvragen, zal SSL.com de validatie uitvoeren via vertrouwde online bronnen en/of geldige documenten, evenals extra documentatie volgens de richtlijnen opgesteld door het CA/Browser Forum.Nieuwe vereisten voor sleutelopslag voor OV- en IV Code Signing-certificaten
Vanaf 1 juni 2023, SSL.com De certificaten voor organisatievalidatie (OV) en individuele validatie (IV) voor codeondertekening worden alleen uitgegeven op USB-tokens volgens de Federal Information Processing Standard 140-2 (FIPS 140-2) of via onze eSigner-cloudcodeondertekeningsservice. Deze wijziging is in overeenstemming met de nieuwe vereisten voor sleutelopslag van het CA/B-forum (Certificate Authority/Browser) om de beveiliging van codeondertekeningssleutels te verbeteren. De vorige regel stond toe dat OV- en IV-codeondertekeningscertificaten werden uitgegeven als downloadbare bestanden van internet. Aangezien de nieuwe vereisten alleen het gebruik van gecodeerde USB-tokens of cloudgebaseerde FIPS-compatibele hardware-apparaten toestaan om het certificaat en de privésleutel op te slaan, wordt verwacht dat het aantal gevallen van code-ondertekeningssleutels die worden gestolen en misbruikt door kwaadwillende actoren aanzienlijk zal worden verminderd. Klik deze link om meer te leren over de SSL.com eSigner-oplossing voor het ondertekenen van cloudcodes.Sleutelopslag en ondertekeningsmethoden voor certificaten voor het ondertekenen van uitgebreide validatiecodes
USB-token
SSL.com levert codeondertekeningscertificaten die vooraf zijn geïnstalleerd op Yubikey FIPS-tokens en Thales SafeNet (Gemalto) USB-tokens. Thales SafeNet-tokens kunnen RSA-sleutels tot 3072 bits verwerken, wat cruciaal is voor ondertekening in de kernelmodus en een vereiste is in bepaalde softwareontwikkelomgevingen, zoals driverondertekening voor Microsoft-systemen. Via een procedure die bekend staat als remote attestation, kunnen klanten van SSL.com, ongeacht hun locatie, een sleutelpaar rechtstreeks op hun YubiKey aanmaken, samen met een attestationcertificaat dat de generatie van de privésleutel op het apparaat verifieert. Het attestationcertificaat kan vervolgens worden gebruikt om een verlopen certificaat te vernieuwen dat zich in de Yubikey bevindt. Ondersteuning voor remote attestation is een functie die momenteel niet beschikbaar is voor Thales-tokenklanten. Raadpleeg dit SSL.com-artikel voor een meer gedetailleerde vergelijking tussen de functies van Yubikeys en Thales SafeNet-tokens: Yubikey FIPS-tokens versus Thales/Gemalto USB-tokens. Zowel Yubikey als Thales SafeNet-tokens zijn ontworpen om de beveiliging te verbeteren zonder de gebruikerservaring substantieel in gevaar te brengen. De keuze tussen beide moet worden geleid door de beveiligingsaanpak en operationele behoeften van de organisatie. Als fysieke apparaten kunnen ze echter verloren gaan of worden gestolen, wat aanzienlijke beveiligingsrisico's met zich meebrengt en mogelijk hoge vervangingskosten met zich meebrengt. In een moderne werkomgeving op afstand kan de logistiek van het distribueren en onderhouden van deze hardwaretokens aanzienlijke uitdagingen vormen voor IT-teams, wat aanzienlijke kosten en mankracht vereist. Bovendien bieden deze tokens niet hetzelfde niveau van gemak als cloudgebaseerde oplossingen, met name voor ontwikkelaars die binnen een CI/CD-pijplijn werken.Cloud-HSM
Een tweede optie voor EV-codeondertekening is het gebruik van een genetwerkte HSM in de cloud om codeondertekeningscertificaten en -sleutels te hosten. Deze methode biedt een vergelijkbaar beveiligingsniveau als een USB-token wanneer de HSM is geconfigureerd om niet-exporteerbare sleutels te hebben tijdens de sleutelgeneratie. Met het sleutelmateriaal dat toegankelijk is in de cloud, wordt integratie met CI/CD-services eenvoudiger, evenals teamsamenwerking met hetzelfde certificaat en sleutelmateriaal. Opgemerkt moet worden dat deze methode expertise met de specifieke cloudserviceprovider kan vereisen. Voor de uitgifte van codeondertekeningscertificaten ondersteunt SSL.com verschillende Cloud HSM's, waaronder Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM en Google Cloud HSM. Voor meer informatie over elk van deze kunt u onze gids lezen: Ondersteunde cloud-HSM's voor documentondertekening en EV-codeondertekening.- Om te weten hoe u uw HSM-account kunt gebruiken en een professional kunt inhuren voor Cloud HSM Attestation, kunt u ons artikel lezen Breng uw eigen auditor Cloud HSM-attest mee.
- SSL.com ontwikkelt en test momenteel attestatieprocedures voor een breed scala aan HSM-platforms. Dit kun je invullen aanvraagformulier om erachter te komen of we een HSM-platform testen dat hierboven niet is vermeld.
eSigner: codeondertekening als een service
Ten derde, een moderne en zeer handige benadering van EV Code Signing is het omgaan met codesigning als een service. De eSigner-service voor het ondertekenen van cloudcodes van SSL.com is een voorbeeld van deze methode. Met eSigner behandelt SSL.com zowel de openbare sleutelinfrastructuur (PKI) en HSM's voor het ondertekenen van codes. De niet-exporteerbare ondertekeningssleutels worden opgeslagen in de HSM's van eSigner, waar noch de klant, noch SSL.com ze kunnen bekijken. Op deze manier is de beveiligingsstandaard even hoog als bij tokens en cloud HSM's, maar hoeft de klant er niet direct mee om te gaan. De eSigner-omgeving bevat een aantal ondertekeningsopties om tegemoet te komen aan de behoeften van een verscheidenheid aan klanten, van individuele ontwikkelaars tot complexe organisaties.eSigner-ondertekeningsopties
- Met de eSigner-service van SSL.com kunt u uw SSL.com Extended Validation Code Signing-certificaat gebruiken om code te ondertekenen vanaf elk apparaat met internetverbinding zonder extra hardware. Nadat u uw EV Code Signing-certificaatbestelling in eSigner heeft geregistreerd, kunt u de code ondertekenen met ofwel de: eSigner Express-webapp, eSigner CodeSignTool of via SSL.com's CSC-compliant code-ondertekening-API.
Door eSigner ondersteunde bestandstypen
- U kunt onze gids lezen, Door eSigner ondersteunde bestandstypen, om te weten welke bestandstypen worden ondersteund door eSigner Express en eSigner API.
Aan de slag met uw Code Signing-certificaat:
Na ontvangst van uw nieuwe code-ondertekeningscertificaat, heeft u mogelijk vragen over hoe u het moet gebruiken en met welke toepassingen het kan worden geïntegreerd. De gekoppelde handleidingen hieronder beantwoorden veelgestelde vragen die u mogelijk heeft over hoe u aan de slag kunt met uw nieuwe certificaat.- Code Signing en EV Code Signing-certificaten kopen van SSL.com
- Hoe installeer ik een SSL.com OV-code-ondertekeningscertificaat op Windows 10
- FAQ: Aan de slag met uw EV Code Signing-certificaat
- Registreer u bij het Windows Hardware Developer Program om stuurprogramma's te ondertekenen met EV Code Signing
- Hoe u uw OV- of EV-codeondertekeningscertificaat gebruikt met Microsoft SignTool en SSL.com SSL Manager
Aan de slag met eSigner Cloud Code Signing
- Servicekenmerken van eSigner
- Schrijf u in voor eSigner
- Een handtekeningabonnement kiezen
- Veelgestelde vragen over eSigner
- Hoe u de eSigner QR-code kunt bekijken en resetten of de pincode kunt resetten
- Teamdeling voor eSigner-documenten en EV Code Signing-certificaten
Je Yubikeys gebruiken
Certificaten zoals EV Code Signing besteld bij SSL.com worden geleverd met de optie om vooraf geïnstalleerd te worden in een Hardware Security Module (HSM) zoals een FIPS 140-2 gevalideerde beveiligingssleutel USB-token. Als uw certificaat nog niet is gevalideerd, kunt u het aantal tokens dat u nodig heeft bij het bestellen en voordat u het validatieproces voltooit, opgeven. Als uw certificaat al is uitgegeven, heeft u nog steeds de mogelijkheid om extra tokens te bestellen. Klik op deze handleiding om te weten hoe u Yubikeys aan uw EV Code Signing-certificaat kunt toevoegen: YubiKeys toevoegen aan uw certificaatbestelling Als je al een Yubikey hebt, kun je de volgende handleidingen raadplegen over het gebruik ervan:- YubiKey snelle instructies
- Hoe YubiKey-pincode te deblokkeren?
- Toegang krijgen tot uw Yubikey FIPS-pincode en PUK
- Wat als mijn EV Code Signing Token leeg is?
- Hoe SSL.com Root- en Intermediate-certificaten op YubiKey te installeren
- Sleutelgeneratie en attest uitvoeren met Yubikey
Automatisering en integratie
eSigner CKA (Cloud Key-adapter)
- eSigner CKA (Cloud Key-adapter) is een op Windows gebaseerde applicatie die gebruikmaakt van de CNG-interface (KSP Key Service Provider) zodat tools zoals certutil.exe en signtool.exe de eSigner CSC kunnen gebruiken voor geautomatiseerde code-ondertekening. eSigner CKA werkt als een virtuele USB-token en laadt de code-ondertekeningscertificaten naar het certificaatarchief.
eSigner en CodeSignTool voor het automatisch ondertekenen van EV-codes
- CodeSignTool is ideaal voor geautomatiseerde batchprocessen voor ondertekening van grote volumes of integratie in bestaande CI/CD-pijplijnworkflows.
- Lees onze CodeSignTool-gids over hoe u code-objecten kunt ondertekenen zonder dat u wordt gevraagd om handmatige OTP-invoer voor elk bestand.
- Ga dan naar eSigner CodeSign Tool-opdrachtgids om meer te weten te komen over ondersteunde opdrachten, opties en parameters.
Specifieke CI/CD-service-integratiehandleidingen
Hieronder vindt u specifieke handleidingen voor het automatiseren van het ondertekenen van codes met eSigner voor de meest populaire CI/CD-platforms.- Integratie van Cloud Code Signing met CircleCI
- Integratie van Cloud Code Signing met GitHub-acties
- Cloud Code Signing-integratie met GitLab CI
- Cloud Code Signing-integratie met Travis CI
- Integratie van Cloud Code Signing met Jenkins CI
- Cloud Code Signing-integratie met Azure DevOps
- Cloud Code Signing-integratie met BitBucket
EV-codeondertekening testen in de sandbox
SSL.com onderhoudt een aparte "sandbox"-omgeving voor onze eSigner-cloudondertekeningsservice, zodat gebruikers kunnen experimenteren met de verschillende apps, hulpprogramma's en API's voordat ze met live gaan werken EV Code-ondertekening certificaten. <ul>Specifieke omgevingsgidsen
De EV Code Signing-certificaten van SSL.com kunnen in verschillende omgevingen voor codesigning worden gebruikt. Raadpleeg de onderstaande artikelen voor specifieke handleidingen:- Uw Java-code ondertekenen met een OV/IV- of EV-certificaat voor codeondertekening
- Kernel-modus-stuurprogramma's voor Windows ondertekenen met EV- of OV Code Signing-certificaten
- FAQ: Kernelmodus Code Signing-certificaten
- Jsign gebruiken vanaf de Linux-opdrachtregel voor het ondertekenen van OV/IV-codes en het ondertekenen van EV-codes
- Code-ondertekening met Azure DevOps, met behulp van een certificaat dat is opgeslagen in Azure Key Vault