Code Signing-certificaten, Cloud Signing-opties en integratie van ondertekeningsbewerkingen

Wat is een Code Signing-certificaat?

Een codeondertekeningscertificaat is een digitaal certificaat dat een wereldwijd geaccepteerd bewijs van identiteit van een software-uitgever biedt en verkrijgbaar is bij een publiekelijk vertrouwde certificeringsinstantie (CA) zoals SSL.com. Softwarebedrijven gebruiken codeondertekeningscertificaten om te bewijzen dat zij de ontwikkelaars van een applicatie zijn. 

Code-ondertekeningscertificaten voorkomen ook manipulatie van code en zorgen ervoor dat een bestand vrij is van ongeautoriseerde wijzigingen, malware en veilig kan worden geïnstalleerd. Code-ondertekeningscertificaten zijn een essentiële beveiligingsfunctie wanneer software online wordt gedistribueerd, verkocht en gedownload.  Uw code digitaal ondertekenen met vertrouwde SSL.com-certificaten laten gebruikers en besturingssystemen weten dat uw software authentiek is en veilig kan worden geïnstalleerd. U kunt altijd contact opnemen met onze verkoop team om deze opties toe te lichten en een offerte te maken.
Certificaat voor code-ondertekening nodig? SSL.com heeft opties om aan al uw behoeften te voldoen, lees meer over onze certificaten.

Het juiste Code Signing-certificaat kiezen

Organisatie Validatie (OV) en Individuele Validatie (IV) certificaten worden High Assurance certificaten genoemd omdat ze meer validatie vereisen en dus meer vertrouwen geven. Voor OV- en IV-certificaten verifieert de CA de feitelijke organisatie of individuele persoon die probeert het certificaat te verkrijgen. De naam van de organisatie of persoon wordt ook vermeld in het certificaat, wat extra vertrouwen geeft dat de certificaathouder een goede naam heeft. OV-certificaten worden vaak gebruikt door bedrijven, overheden en andere entiteiten die hun bezoekers een extra laag vertrouwen willen geven. Afgezien van SSL/TLS certificaten, OV en IV worden ook veel gebruikt voor code ondertekening, document ondertekening, client authenticatie en S/MIME e-mail certificaten. Voor meer informatie over de vereisten verwijzen wij u naar SSL.com's OV- en IV-vereisten. Het Individual Validation (IV) Code Signing-certificaat past digitale handtekeningen toe met een persoonlijke naam, perfect voor onafhankelijke softwareontwikkelaars en individuele projectmedewerkers die het vertrouwen van hun gebruikers willen vergroten.  EV-certificaten, ook wel bedrijfscode-ondertekeningscertificaten genoemd, bieden bezoekers het maximale vertrouwen en vereisen ook de meeste inspanning van de CA om te valideren. EV-certificaten mogen alleen worden afgegeven aan bedrijven en andere geregistreerde organisaties, niet aan particulieren. SSL.com Eenmanszaak EV Code Signing-certificaten voegen de identiteit van een persoon toe aan het standaard EV Code Signing-certificaat. Met deze validatieoptie kan een eenmanszaak of een individuele bijdrager hun naam opnemen in de digitale handtekening. De validatieoptie voor eenmanszaak is ook voor bedrijven die een extra beveiligingslaag nodig hebben door de gevalideerde identiteit van een persoon in de digitale handtekening op te nemen. Om meer te weten te komen over de kenmerken van deze certificaten, kunt u ons artikel lezen,  Welk Code Signing-certificaat heb ik nodig? EV of OV? In een oogopslag worden de bepalende kenmerken van OV- en EV-certificaten voor het ondertekenen van code hieronder opgesomd.

IV Code Signing Certificaat:

  • Past digitale handtekeningen toe met een persoonlijke naam
  • Perfect voor onafhankelijke softwareontwikkelaars en individuele projectmedewerkers

OV Code Signing Certificaat:

  • Verifieert uw identiteit als de software-uitgever
  • Beschermt uw software tegen manipulatie en malware-infectie

EV Code Signing-certificaat:

  • Mogelijkheid om zowel pre-Windows 10- als Windows 10-stuurprogramma's te ondertekenen
  • Onmiddellijke reputatie van Microsoft SmartScreen
  • Niet-verlopen van handtekening en tijdstempel
  •  Mogelijkheid om in de cloud te ondertekenen met eSigner
  • Eenmanszaak EV Code Signing-certificaten voegen de identiteit van een persoon toe aan het standaard EV Code Signing-certificaat

Uw SSL.com-account instellen en gebruiken

Als je dat nog niet hebt gedaan, begin dan met een account aanmaken op SSL.com. Uw account heeft de mogelijkheid om meerdere teams te maken en meerdere gebruikers uit te nodigen met specifieke rol- en rechtentoewijzingen.

Het validatieproces

Om een ​​OV- of IV-certificaat te valideren en af ​​te geven, moet SSL.com uw identiteit, fysiek adres en telefoonnummer verifiëren via verifieerbare online bronnen en/of geldige verificatiedocumenten. Voor meer informatie over de vereisten, kunt u lezen: Wat zijn de vereisten voor SSL.com OV- en IV-certificaten?  Bovendien moeten aanvragers voor bestellingen van IV Code Signing-certificaten een voor- en achterkant van een ID indienen, plus een afbeelding van hen met het ID naast hun gezicht. Volgens de richtlijnen van het CA/Browser Forum moet er extra documentatie worden aangeleverd om een ​​EV-certificaat af te geven. Ga naar FAQ: Extended Validation (EV) -proces om alle vereisten voor EV-certificaten te kennen. Voor entiteiten die EV Code Signing-certificaten aanvragen, zal SSL.com de validatie uitvoeren via vertrouwde online bronnen en/of geldige documenten, evenals extra documentatie volgens de richtlijnen opgesteld door het CA/Browser Forum.

Nieuwe vereisten voor sleutelopslag voor OV- en IV Code Signing-certificaten

Vanaf 1 juni 2023, SSL.com De certificaten voor organisatievalidatie (OV) en individuele validatie (IV) voor codeondertekening worden alleen uitgegeven op USB-tokens volgens de Federal Information Processing Standard 140-2 (FIPS 140-2) of via onze eSigner-cloudcodeondertekeningsservice. Deze wijziging is in overeenstemming met de nieuwe vereisten voor sleutelopslag van het CA/B-forum (Certificate Authority/Browser) om de beveiliging van codeondertekeningssleutels te verbeteren. De vorige regel stond toe dat OV- en IV-codeondertekeningscertificaten werden uitgegeven als downloadbare bestanden van internet. Aangezien de nieuwe vereisten alleen het gebruik van gecodeerde USB-tokens of cloudgebaseerde FIPS-compatibele hardware-apparaten toestaan ​​om het certificaat en de privésleutel op te slaan, wordt verwacht dat het aantal gevallen van code-ondertekeningssleutels die worden gestolen en misbruikt door kwaadwillende actoren aanzienlijk zal worden verminderd. Klik deze link om meer te leren over de SSL.com eSigner-oplossing voor het ondertekenen van cloudcodes.

Sleutelopslag en ondertekeningsmethoden voor certificaten voor het ondertekenen van uitgebreide validatiecodes 

USB-token

SSL.com levert codeondertekeningscertificaten die vooraf zijn geïnstalleerd op Yubikey FIPS-tokens en Thales SafeNet (Gemalto) USB-tokens. Thales SafeNet-tokens kunnen RSA-sleutels tot 3072 bits verwerken, wat cruciaal is voor ondertekening in de kernelmodus en een vereiste is in bepaalde softwareontwikkelomgevingen, zoals driverondertekening voor Microsoft-systemen. Via een procedure die bekend staat als remote attestation, kunnen klanten van SSL.com, ongeacht hun locatie, een sleutelpaar rechtstreeks op hun YubiKey aanmaken, samen met een attestationcertificaat dat de generatie van de privésleutel op het apparaat verifieert. Het attestationcertificaat kan vervolgens worden gebruikt om een ​​verlopen certificaat te vernieuwen dat zich in de Yubikey bevindt. Ondersteuning voor remote attestation is een functie die momenteel niet beschikbaar is voor Thales-tokenklanten. Raadpleeg dit SSL.com-artikel voor een meer gedetailleerde vergelijking tussen de functies van Yubikeys en Thales SafeNet-tokens: Yubikey FIPS-tokens versus Thales/Gemalto USB-tokens. Zowel Yubikey als Thales SafeNet-tokens zijn ontworpen om de beveiliging te verbeteren zonder de gebruikerservaring substantieel in gevaar te brengen. De keuze tussen beide moet worden geleid door de beveiligingsaanpak en operationele behoeften van de organisatie. Als fysieke apparaten kunnen ze echter verloren gaan of worden gestolen, wat aanzienlijke beveiligingsrisico's met zich meebrengt en mogelijk hoge vervangingskosten met zich meebrengt. In een moderne werkomgeving op afstand kan de logistiek van het distribueren en onderhouden van deze hardwaretokens aanzienlijke uitdagingen vormen voor IT-teams, wat aanzienlijke kosten en mankracht vereist. Bovendien bieden deze tokens niet hetzelfde niveau van gemak als cloudgebaseerde oplossingen, met name voor ontwikkelaars die binnen een CI/CD-pijplijn werken.

Cloud-HSM

Een tweede optie voor EV-codeondertekening is het gebruik van een genetwerkte HSM in de cloud om codeondertekeningscertificaten en -sleutels te hosten. Deze methode biedt een vergelijkbaar beveiligingsniveau als een USB-token wanneer de HSM is geconfigureerd om niet-exporteerbare sleutels te hebben tijdens de sleutelgeneratie. Met het sleutelmateriaal dat toegankelijk is in de cloud, wordt integratie met CI/CD-services eenvoudiger, evenals teamsamenwerking met hetzelfde certificaat en sleutelmateriaal. Opgemerkt moet worden dat deze methode expertise met de specifieke cloudserviceprovider kan vereisen. Voor de uitgifte van codeondertekeningscertificaten ondersteunt SSL.com verschillende Cloud HSM's, waaronder Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM en Google Cloud HSM. Voor meer informatie over elk van deze kunt u onze gids lezen: Ondersteunde cloud-HSM's voor documentondertekening en EV-codeondertekening.

  • Om te weten hoe u uw HSM-account kunt gebruiken en een professional kunt inhuren voor Cloud HSM Attestation, kunt u ons artikel lezen Breng uw eigen auditor Cloud HSM-attest mee.
  • SSL.com ontwikkelt en test momenteel attestatieprocedures voor een breed scala aan HSM-platforms. Dit kun je invullen aanvraagformulier om erachter te komen of we een HSM-platform testen dat hierboven niet is vermeld.

eSigner: codeondertekening als een service

Ten derde, een moderne en zeer handige benadering van EV Code Signing is het omgaan met codesigning als een service. De eSigner-service voor het ondertekenen van cloudcodes van SSL.com is een voorbeeld van deze methode.  Met eSigner behandelt SSL.com zowel de openbare sleutelinfrastructuur (PKI) en HSM's voor het ondertekenen van codes. De niet-exporteerbare ondertekeningssleutels worden opgeslagen in de HSM's van eSigner, waar noch de klant, noch SSL.com ze kunnen bekijken. Op deze manier is de beveiligingsstandaard even hoog als bij tokens en cloud HSM's, maar hoeft de klant er niet direct mee om te gaan. De eSigner-omgeving bevat een aantal ondertekeningsopties om tegemoet te komen aan de behoeften van een verscheidenheid aan klanten, van individuele ontwikkelaars tot complexe organisaties.

eSigner-ondertekeningsopties

  • Met de eSigner-service van SSL.com kunt u uw SSL.com Extended Validation Code Signing-certificaat gebruiken om code te ondertekenen vanaf elk apparaat met internetverbinding zonder extra hardware. Nadat u uw EV Code Signing-certificaatbestelling in eSigner heeft geregistreerd, kunt u de code ondertekenen met ofwel de: eSigner Express-webapp, eSigner CodeSignTool of via SSL.com's CSC-compliant code-ondertekening-API

Door eSigner ondersteunde bestandstypen

Aan de slag met uw Code Signing-certificaat:

Na ontvangst van uw nieuwe code-ondertekeningscertificaat, heeft u mogelijk vragen over hoe u het moet gebruiken en met welke toepassingen het kan worden geïntegreerd. De gekoppelde handleidingen hieronder beantwoorden veelgestelde vragen die u mogelijk heeft over hoe u aan de slag kunt met uw nieuwe certificaat.

Aan de slag met eSigner Cloud Code Signing

Hieronder vindt u bronnen die u meer informatie kunnen geven over het gebruik van de eSigner-interface en hoe u deze kunt instellen voor teamgerichte taken.

Je Yubikeys gebruiken

Certificaten zoals EV Code Signing besteld bij SSL.com worden geleverd met de optie om vooraf geïnstalleerd te worden in een Hardware Security Module (HSM) zoals een FIPS 140-2 gevalideerde beveiligingssleutel USB-token. Als uw certificaat nog niet is gevalideerd, kunt u het aantal tokens dat u nodig heeft bij het bestellen en voordat u het validatieproces voltooit, opgeven. Als uw certificaat al is uitgegeven, heeft u nog steeds de mogelijkheid om extra tokens te bestellen. Klik op deze handleiding om te weten hoe u Yubikeys aan uw EV Code Signing-certificaat kunt toevoegen: YubiKeys toevoegen aan uw certificaatbestelling Als je al een Yubikey hebt, kun je de volgende handleidingen raadplegen over het gebruik ervan:

Automatisering en integratie

eSigner CKA (Cloud Key-adapter)

  •  eSigner CKA (Cloud Key-adapter) is een op Windows gebaseerde applicatie die gebruikmaakt van de CNG-interface (KSP Key Service Provider) zodat tools zoals certutil.exe en signtool.exe de eSigner CSC kunnen gebruiken voor geautomatiseerde code-ondertekening. eSigner CKA werkt als een virtuele USB-token en laadt de code-ondertekeningscertificaten naar het certificaatarchief. 

eSigner en CodeSignTool voor het automatisch ondertekenen van EV-codes

  • CodeSignTool is ideaal voor geautomatiseerde batchprocessen voor ondertekening van grote volumes of integratie in bestaande CI/CD-pijplijnworkflows.
  • Lees onze CodeSignTool-gids over hoe u code-objecten kunt ondertekenen zonder dat u wordt gevraagd om handmatige OTP-invoer voor elk bestand.
  • Ga dan naar eSigner CodeSign Tool-opdrachtgids om meer te weten te komen over ondersteunde opdrachten, opties en parameters.

Specifieke CI/CD-service-integratiehandleidingen

Hieronder vindt u specifieke handleidingen voor het automatiseren van het ondertekenen van codes met eSigner voor de meest populaire CI/CD-platforms. Lees ons artikel voor meer informatie over de waarde van cloudgebaseerde code-ondertekening: Cloud Code Signing-automatisering met CI/CD-services.

EV-codeondertekening testen in de sandbox

SSL.com onderhoudt een aparte "sandbox"-omgeving voor onze eSigner-cloudondertekeningsservice, zodat gebruikers kunnen experimenteren met de verschillende apps, hulpprogramma's en API's voordat ze met live gaan werken EV Code-ondertekening certificaten. <ul>
  • Ga naar onze how-to artikel die eSigner-demo-inloggegevens, QR-codes en configuratie-informatie bevat om experimenteel gebruik van de eSigner Express-sandbox, CodeSignTool en CCS, Code ondertekening.
  • Voor een volledige gids over het opzetten van een sandbox-account, het maken van een testbestelling en het gebruik van de Sandbox met de SWS API van SSL.com, kunt u ons gidsartikel lezen: De SSL.com Sandbox gebruiken voor testen en integratie.

  • Specifieke omgevingsgidsen

    De EV Code Signing-certificaten van SSL.com kunnen in verschillende omgevingen voor codesigning worden gebruikt. Raadpleeg de onderstaande artikelen voor specifieke handleidingen:  Afgezien van de hierboven genoemde, zijn er meer omgevingen waarmee SSL.com-certificaten voor codeondertekening compatibel zijn. Contact ondersteuning@ssl.com of gebruik de websitechat voor vragen over andere omgevingen.
     

    Neem contact op met het SSL.com-verkoopteam

    Als u iemand nodig hebt die u door al onze codeondertekeningsopties kan loodsen, aangepaste integraties, deals met grote volumes, offertes of andere oplossingen op maat kan bespreken, kunt u altijd contact opnemen met ons verkoopteam via sales@ssl.com of onderstaand formulier invullen.


    Twitter
    Facebook
    LinkedIn
    Reddit
    E-mail

    Blijf geïnformeerd en veilig

    SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

    We willen graag uw feedback

    Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.