Code Signing implementeren met Google Cloud HSM

Certificaatautoriteiten zoals SSL.com hebben onlangs de sleutelopslagstandaarden voor Code Signing-certificaten verhoogd, waardoor nu de opslag van de privésleutel van het certificaat verplicht wordt gesteld, hetzij op een fysiek USB-token, hetzij op een compatibele Hardware Security Module (HSM).  Vanaf 1 juni 2023 worden alle SSL.com-codeondertekeningscertificaten niet meer uitgegeven als downloadbare pfx-bestanden. Deze wijziging is in overeenstemming met het Forum van de Certificeringsautoriteit/Browser (CA/B). nieuwe vereisten voor sleutelopslag om de beveiliging van codeondertekeningssleutels te vergroten. De vorige regel maakte het mogelijk dat certificaten voor codeondertekening van Organisatie Validatie (OV) en Individuele Validatie (IV) werden uitgegeven als downloadbare bestanden. Omdat de nieuwe vereisten alleen het gebruik van gecodeerde USB-tokens of cloudgebaseerde FIPS-compatibele hardwareapparaten toestaan ​​om het certificaat en de privésleutel op te slaan, wordt verwacht dat het aantal gevallen waarin codeondertekeningssleutels worden gestolen en misbruikt door kwaadwillende actoren aanzienlijk zal worden verminderd. Hoewel het gebruik van USB-tokens uitdagingen met zich meebrengt bij de integratie met moderne CI/CD-pijplijnen en het beheren van een fysieke HSM op kantoor omslachtig kan zijn, bestaat er een efficiënt alternatief. Google Cloud biedt een praktische oplossing: het huren van één sleutelslot op hun HSM-dienst. Deze aanpak is niet alleen kosteneffectief, maar sluit ook aan bij de nieuwste FIPS 140-2 Level 2-nalevingsnormen, terwijl de noodzaak voor fysiek apparaatbeheer wordt geëlimineerd. Dit artikel begeleidt u bij het installatieproces van deze middenwegoplossing.

De EV Code Signing-certificaten van SSL.com worden wereldwijd vertrouwd om softwarecode digitaal te ondertekenen met beveiligde digitale handtekeningen. 

KOOP UW SSL.COM EV CODE ONDERTEKENINGSCERTIFICAAT

 

Inzicht in het codeondertekeningsproces met een cloudgebaseerde HSM

Om de essentie van de codeondertekenprocedure met behulp van een cloudgebaseerde Hardware Security Module (HSM) te begrijpen, is het nuttig om de componenten te onderzoeken:
  • Code Signing Certificate: Een digitaal certificaat uitgegeven door een vertrouwde certificeringsinstantie (CA) dat softwareontwikkelaars gebruiken om hun software, scripts en uitvoerbare bestanden digitaal te ondertekenen. Dit certificaat dient als een digitale handtekening die de identiteit van de ontwikkelaar of uitgever verifieert en ervoor zorgt dat de code niet is gewijzigd of gecompromitteerd sinds deze oorspronkelijk werd ondertekend. 
  • Google Cloud: Biedt services die veilige softwareontwikkeling en -implementatie ondersteunen, inclusief infrastructuur voor het veilig genereren en beheren van cryptografische sleutels die worden gebruikt bij het codeondertekeningsproces.
  • Google Cloud HSM voor sleutelbescherming: een robuuste hardwarebeveiligingsmodule, ondergebracht in de infrastructuur van Google Cloud, speciaal bedoeld om uw privésleutel te beveiligen tegen ongeautoriseerde toegang.
  • Ondertekentool: Een softwaretoepassing of hulpprogramma dat is ontworpen om softwareprogramma's en -applicaties digitaal te ondertekenen. Deze digitale handtekening verzekert de eindgebruiker dat de software niet is gewijzigd of gecompromitteerd sinds deze door de ontwikkelaar of uitgever is ondertekend.
  • Time Stamping Authority (TSA): een vertrouwde service van derden, doorgaans beheerd door uw certificeringsinstantie (CA), die tot taak heeft te bewijzen dat de code is ondertekend tijdens de geldigheidsperiode van het digitale certificaat dat voor ondertekening wordt gebruikt, zelfs als het certificaat later verloopt of wordt ingetrokken.

Een Google Cloud-account registreren

De eerste stap bij het configureren van uw configuratie omvat het aanmaken van een account bij Google Cloud Platform. Zodra uw account actief is, is het noodzakelijk om een ​​nieuw project aan te maken en facturering inschakelen. Het verstrekken van uw betalingsgegevens is noodzakelijk om door te kunnen gaan met de installatie.

Genereer uw sleutelpaar, CSRen attestverklaring

Voordat SSL.com codeondertekeningscertificaten of door Adobe vertrouwde certificaten voor documentondertekening uitgeeft, vereist dit bevestiging dat de persoonlijke ondertekeningssleutel van de klant is gegenereerd op en veilig is opgeslagen in een apparaat dat is gecertificeerd door FIPS 140-2 Level 2 (of hoger). Dit apparaat zorgt ervoor dat de sleutel niet kan worden geëxtraheerd, en het verifiëren van deze bescherming wordt attestatie genoemd. De Cloud HSM van Google, die gebruikmaakt van door Marvell (voorheen Cavium) vervaardigde apparaten, is in staat ondertekende attestverklaringen voor cryptografische sleutels te genereren. SSL.com kan deze verklaringen valideren voordat certificaten voor documentondertekening of codeondertekening worden uitgegeven. Voor hulp bij het genereren van uw sleutelpaar en attestverklaring kunt u de Google Cloud Key Management-documentatie raadplegen: Zodra u uw sleutelpaar heeft, CSRen de attestverklaring gereed, dien deze in bij SSL.com voor verificatie en certificaatuitgifte. De open source tool door GitHub-gebruiker mat voor het maken van een CSR en het ondertekenen ervan met een privésleutel van Google Cloud HSM kan bijzonder nuttig zijn. SSL.com brengt een vergoeding van $ 500.00 USD in rekening voor Google Cloud HSM-attestering. Daarnaast bieden we verschillende prijsniveaus voor certificaten die worden gebruikt op cloud-HSM-platforms, afhankelijk van de jaarlijkse maximale ondertekeningsbewerkingen. Voor gedetailleerde prijsinformatie verwijzen wij u naar onze Cloud HSM-prijsniveaus gids. Attesten kunnen worden uitgevoerd met behulp van de BYOA (Bring Your Own Auditor)-methode wanneer een HSM-eigenaar kiest voor attestatie voor het genereren van sleutels zonder de services van SSL.com. Deze methode is van toepassing op elke Key Generation Ceremony (KGC) van een compatibele HSM, zelfs die welke niet onder de SSL.com-attest vallen. BYOA vereist een nauwgezette voorbereiding om het risico van sleutelafwijzing te voorkomen. Dergelijke problemen vereisen een herhaling van de ceremonie, wat extra kosten en vertragingen met zich meebrengt. Om deze problemen te voorkomen, begeleiden de klantenondersteunings- en validatiespecialisten van SSL.com klanten proactief voor de KGC.

Bestel uw Code Signing-certificaat

Alle SSL.com code-ondertekeningscertificaten kunnen worden aangeschaft met een looptijd van 1-3 jaar, met kortingen voor langere looptijden en met het gemak dat u voor certificaten met een langere looptijd slechts één keer een validatieproces hoeft te ondergaan.     In het volgende gekoppelde artikel wordt beschreven hoe u een certificaat voor codeondertekening kunt bestellen en door deze opties kunt navigeren: Bestelproces voor certificaten voor code- en documentondertekening Voor maatwerkoplossingen, hoge volumekortingen, externe HSM-opties, officiële offertes of andere begeleiding kunt u contact opnemen met sales@ssl.com.

Onderga het doorlichtingsproces om uw certificaat te verkrijgen

Naast het genereren van uw sleutelpaar, CSRen attestverklaring vereist SSL.com bepaalde documenten en registratie-informatie voordat u een code-ondertekeningscertificaat kunt verkrijgen. Het volgende gekoppelde artikel beschrijft het controleproces:  Validatieproces voor certificaten voor documentondertekening, codeondertekening en EV Code Signing.

De EV Code Signing-certificaten van SSL.com worden wereldwijd vertrouwd om softwarecode digitaal te ondertekenen met beveiligde digitale handtekeningen. 

KOOP UW SSL.COM EV CODE ONDERTEKENINGSCERTIFICAAT

 

Gerelateerde artikelen

Twitter
Facebook
LinkedIn
Reddit
E-mail

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.