Sertifiseringsinstanser som SSL.com har nylig hevet nøkkellagringsstandardene for kodesigneringssertifikater, og krever nå lagring av sertifikatets private nøkkel enten på et fysisk USB-token eller på en kompatibel Hardware Security Module (HSM).
Fra 1. juni 2023 har alle SSL.com-kodesigneringssertifikater sluttet å bli utstedt som nedlastbare pfx-filer. Denne endringen er i samsvar med sertifiseringsinstansen/nettleserforumet (CA/B). nye krav til nøkkellagring for å øke sikkerheten for kodesigneringsnøkler. Den forrige regelen tillot organisasjonsvalidering (OV) og individuell validering (IV) kodesigneringssertifikater å bli utstedt som nedlastbare filer. Siden de nye kravene kun tillater bruk av krypterte USB-tokens eller skybaserte FIPS-kompatible maskinvareenheter for å lagre sertifikatet og den private nøkkelen, forventes det at forekomster av kodesigneringsnøkler som blir stjålet og misbrukt av ondsinnede aktører vil bli kraftig redusert.
Selv om bruken av USB-tokens byr på utfordringer med å integrere med moderne CI/CD-rørledninger, og det kan være tungvint å administrere en fysisk HSM på kontoret, men det finnes et effektivt alternativ. Google Cloud tilbyr en praktisk løsning: å leie et enkelt nøkkelspor på deres HSM-tjeneste. Denne tilnærmingen er ikke bare kostnadseffektiv, men samsvarer også med de nyeste FIPS 140-2 nivå 2-samsvarsstandardene, samtidig som man eliminerer behovet for fysisk enhetsadministrasjon. Denne artikkelen vil veilede deg gjennom installasjonsprosessen for denne mellomliggende løsningen.
SSL.coms EV-kodesigneringssertifikater er klarert over hele verden for å signere programvarekode digitalt med sikre digitale signaturer.
Forstå kodesigneringsprosessen med en skybasert HSM
For å forstå essensen av kodesigneringsprosedyren som bruker en skybasert maskinvaresikkerhetsmodul (HSM), er det nyttig å undersøke komponentene:- Kodesigneringssertifikat: Et digitalt sertifikat utstedt av en betrodd sertifiseringsinstans (CA) som programvareutviklere bruker til å digitalt signere programvaren, skriptene og kjørbare filene deres. Dette sertifikatet fungerer som en digital signatur som bekrefter identiteten til utvikleren eller utgiveren og sikrer at koden ikke har blitt endret eller kompromittert siden den opprinnelig ble signert.
- Google Cloud: Tilbyr tjenester som støtter sikker programvareutvikling og -distribusjon, inkludert infrastruktur for sikker generering og administrering av kryptografiske nøkler som brukes i kodesigneringsprosessen.
- Google Cloud HSM for nøkkelbeskyttelse: En robust maskinvaresikkerhetsmodul plassert i Google Clouds infrastruktur, dedikert til å sikre din private nøkkel mot uautorisert tilgang.
- Signeringsverktøy: Et program eller et verktøy utviklet for digital signering av programmer og programmer. Denne digitale signaturen forsikrer sluttbrukeren om at programvaren ikke har blitt endret eller kompromittert siden den ble signert av utvikleren eller utgiveren.
- Time Stamping Authority (TSA): en pålitelig tredjepartstjeneste, vanligvis administrert av sertifiseringsmyndigheten (CA), som har i oppgave å bevise at koden ble signert under gyldighetsperioden til det digitale sertifikatet som ble brukt til signering, selv om sertifikatet senere utløper eller blir opphevet.
Registrere en Google Cloud-konto
Det første trinnet i å konfigurere oppsettet ditt innebærer å etablere en konto med Google Cloud Platform. Når kontoen din er aktiv, er det nødvendig å opprette et nytt prosjekt og aktivere fakturering. Det er nødvendig å oppgi betalingsinformasjonen din for å kunne fortsette med oppsettet.Generer nøkkelparet ditt, CSR, og attestasjonserklæring
Før utstedelse av kodesignering eller Adobe-klarerte dokumentsigneringssertifikater, krever SSL.com bekreftelse på at kundens private signeringsnøkkel ble generert på og er sikkert inneholdt i en enhet sertifisert av FIPS 140-2 nivå 2 (eller høyere). Denne enheten sikrer at nøkkelen ikke kan trekkes ut, og verifisering av denne beskyttelsen kalles attestasjon. Googles Cloud HSM, som bruker Marvell (tidligere Cavium)-produserte enheter, er i stand til å generere signerte attestasjonserklæringer for kryptografiske nøkler. SSL.com kan validere disse uttalelsene før utstedelse av dokumentsignerings- eller kodesigneringssertifikater. For veiledning om generering av nøkkelpar og attestasjonserklæring, se Googles Cloud Key Management-dokumentasjon: Når du har nøkkelparet, CSR, og attestasjon klar, send dem til SSL.com for verifisering og sertifikatutstedelse. De open source-verktøy av GitHub-bruker matter for å lage en CSR og signering av den med en privat nøkkel fra Google Cloud HSM kan være spesielt nyttig. SSL.com krever et gebyr på $500.00 USD for Google Cloud HSM-attest. I tillegg tilbyr vi ulike prisnivåer for sertifikater som brukes på sky HSM-plattformer, avhengig av den årlige maksimale signeringsoperasjonen. For detaljert prisinformasjon, se vår Cloud HSM-prisnivåer guide. Attester kan utføres ved hjelp av BYOA (Bring Your Own Auditor)-metoden når en HSM-eier velger nøkkelgenereringsattest uten SSL.com sine tjenester. Denne metoden gjelder for enhver nøkkelgenereringsseremoni (KGC) av en kompatibel HSM, selv de som ikke dekkes av SSL.coms attestasjon. BYOA krever grundig forberedelse for å unngå risikoen for nøkkelavvisning. Slike problemer gjør det nødvendig å gjenta seremonien, med ekstra kostnader og forsinkelser. For å forhindre disse problemene veileder SSL.coms kundestøtte- og valideringsspesialister proaktivt kunder før KGC.Bestill ditt kodesigneringssertifikat
Alle SSL.com-kodesigneringssertifikater kan kjøpes med 1-3 års varighet med rabatter for lengre varighet, samt bekvemmeligheten av å bare måtte gjennomgå en valideringsprosess én gang for sertifikater med lengre varighet. Følgende koblede artikkel beskriver hvordan du bestiller et kodesigneringssertifikat og navigerer i disse alternativene: Bestillingsprosess for kode- og dokumentsigneringssertifikater. For tilpassede løsninger, høyvolumrabatter, eksterne HSM-alternativer, offisielle tilbud eller annen veiledning, vennligst kontakt sales@ssl.com.Gjennomgå vettingprosessen for å få sertifikatet ditt
Bortsett fra å generere nøkkelparet ditt, CSR, og attestasjonserklæring, krever SSL.com spesielle dokumenter og registreringsinformasjon før du kan oppnå et kodesigneringssertifikat. Følgende lenkede artikkel beskriver undersøkelsesprosessen: Valideringsprosess for dokumentsignering, kodesignering og EV-kodesigneringssertifikater.SSL.coms EV-kodesigneringssertifikater er klarert over hele verden for å signere programvarekode digitalt med sikre digitale signaturer.