Kodesigneringssertifikater, skysigneringsalternativer og integrering av signeringsoperasjoner

Hva er et kodesigneringssertifikat?

Et kodesigneringssertifikat er et digitalt sertifikat som gir et globalt akseptert bevis på identiteten til en programvareutgiver og er tilgjengelig fra en offentlig pålitelig sertifiseringsinstans (CA) som SSL.com. Programvareselskaper bruker kodesigneringssertifikater for å bevise at de er utviklere av en applikasjon. 

Kodesigneringssertifikater forhindrer også tukling av kode og sikrer at en fil er fri for uautoriserte endringer, skadelig programvare og er trygg å installere. Kodesigneringssertifikater er en viktig sikkerhetsfunksjon når programvare distribueres, selges og lastes ned online.  Digital signering av koden din med pålitelige SSL.com-sertifikater lar brukere og operativsystemer vite at programvaren din er autentisk og trygg å installere. Du kan alltid kontakte oss salgsgruppe for å forklare disse alternativene og gi et tilbud.
Trenger du et kodesigneringssertifikat? SSL.com har alternativer for å møte hva dine behov måtte være, lære mer om våre sertifikater.

Velge riktig kodesigneringssertifikat

Organisasjonsvalidering (OV) og Individuell validering (IV) sertifikater omtales som High Assurance-sertifikater fordi de krever mer validering og dermed gir mer tillit, . For OV- og IV-sertifikater vil CA verifisere den faktiske organisasjonen eller den enkelte personen som prøver å få sertifikatet. Organisasjonens eller individets navn er også oppført i sertifikatet, noe som gir økt tillit til at sertifikatinnehaveren er anerkjent. OV-sertifikater brukes ofte av selskaper, myndigheter og andre enheter som ønsker å gi et ekstra lag med tillit til sine besøkende. Bortsett fra SSL/TLS sertifikater, OV og IV brukes også ofte til kodesignering, dokument signering, klientautentiseringog S/MIME e-sertifikater. For mer informasjon om krav, se SSL.com OV og IV krav. Individual Validation (IV) Code Signing Certificate bruker digitale signaturer med et personlig navn, perfekt for uavhengige programvareutviklere og individuelle prosjektbidragsytere som ønsker å øke tilliten og tilliten fra brukerne sine.  EV-sertifikater, også kjent som bedriftskodesigneringssertifikater, gir maksimal tillit til besøkende, og krever også mest mulig innsats fra CA for å validere. EV-sertifikater kan kun utstedes til bedrifter og andre registrerte organisasjoner, ikke til enkeltpersoner. SSL.com Eneeierskap EV-kodesigneringssertifikater legger til en persons identitet til standard EV-kodesigneringssertifikatet. Dette valideringsalternativet gjør det mulig for et enkeltpersonforetak eller individuell bidragsyter å inkludere navnet sitt i den digitale signaturen. Valideringsalternativet for enkeltpersonforetak er også for virksomheter som krever et ekstra lag med sikkerhet ved å inkludere en persons validerte identitet i den digitale signaturen. For å vite mer om funksjonene til disse sertifikatene, kan du lese artikkelen vår,  Hvilket kodesigneringssertifikat trenger jeg? EV eller OV? Med et raskt blikk er de definerende funksjonene til OV- og EV-kodesigneringssertifikater listet opp nedenfor.

IV-kodesigneringssertifikat:

  • Bruker digitale signaturer med personnavn
  • Perfekt for uavhengige programvareutviklere og individuelle prosjektbidragsytere

OV-kodesigneringssertifikat:

  • Verifiserer identiteten din som programvareutgiver
  • Beskytter programvaren din mot tukling og skadelig programvare

EV-kode signeringssertifikat:

  • Evne til å signere både pre-Windows 10- og Windows 10-drivere
  • Øyeblikkelig Microsoft SmartScreen-omdømme
  • Ikke-utløp av signatur og tidsstempling
  •  Evne til å logge på skyen ved hjelp av eSigner
  • Enkeltmannsforetak EV-kodesigneringssertifikater legger til en persons identitet til standard EV-kodesigneringssertifikat

Sette opp og bruke SSL.com-kontoen din

Hvis du ikke allerede har gjort det, start med opprette en konto på SSL.com. Kontoen din har muligheten til å opprette flere team i tillegg til å invitere flere brukere med spesifikke rolle- og rettighetstilordninger.

Valideringsprosessen

For å validere og utstede et OV- eller IV-sertifikat, må SSL.com bekrefte din identitet, fysiske adresse og telefonnummer via verifiserbare nettressurser og/eller gyldige bekreftelsesdokumenter. For ytterligere detaljer om kravene kan du lese Hva er kravene til SSL.com OV- og IV-sertifikater?  I tillegg for bestillinger av IV-kodesigneringssertifikater, må søkere sende inn et bilde foran og bak av en ID pluss et bilde av dem som holder ID-en ved siden av ansiktet. I henhold til retningslinjer fastsatt av CA/Browser Forum, må ekstra dokumentasjon leveres for å utstede et EV-sertifikat. Gå over til FAQ: utvidet validering (EV) -prosess å kjenne alle kravene til EV-sertifikater. For enheter som ber om EV-kodesigneringssertifikater, vil SSL.com gjennomføre validering både gjennom pålitelige nettressurser og/eller gyldige dokumenter samt ekstra dokumentasjon i henhold til retningslinjer fastsatt av CA/nettleserforumet.

Nye krav til nøkkellagring for OV- og IV-kodesigneringssertifikater

Fra og med 1. juni 2023, SSL.com Sertifikater for organisasjonsvalidering (OV) og individuell validering (IV) kodesigneringssertifikater vil bare bli utstedt enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gjennom vår eSigner skykodesigneringstjeneste. Denne endringen er i samsvar med Certificate Authority/Browser (CA/B) Forums nye krav til nøkkellagring for å øke sikkerheten for kodesigneringsnøkler. Den forrige regelen tillot OV- og IV-kodesigneringssertifikater å bli utstedt som nedlastbare filer fra internett. Siden de nye kravene kun tillater bruk av krypterte USB-tokens eller skybaserte FIPS-kompatible maskinvareenheter for å lagre sertifikatet og den private nøkkelen, forventes det at forekomster av kodesigneringsnøkler som blir stjålet og misbrukt av ondsinnede aktører vil bli kraftig redusert. Klikk denne koblingen å lære mer om SSL.com eSigner skykodesigneringsløsning.

Nøkkellagring og signeringsmetoder for utvidede valideringskodesigneringssertifikater 

USB-token

SSL.com sender kodesigneringssertifikater som er forhåndsinstallert på Yubikey FIPS-tokens og Thales SafeNet (Gemalto) USB-tokens. Thales SafeNet-tokens er utstyrt for å håndtere RSA-nøkler på opptil 3072 biter, avgjørende for signering av kjernemodus og en forutsetning i visse programvareutviklingsmiljøer som driversignering for Microsoft-systemer. Gjennom en prosedyre kjent som ekstern attestasjon, kan kunder av SSL.com, uavhengig av hvor de befinner seg, opprette et nøkkelpar direkte på YubiKey sammen med et attestasjonssertifikat som bekrefter genereringen av den private nøkkelen på enheten. Attestasjonssertifikatet kan senere brukes til å fornye et utløpt sertifikat som er i Yubikey. Støtte for ekstern attestering er en funksjon som for øyeblikket ikke er tilgjengelig for Thales token-kunder. For en mer detaljert sammenligning mellom funksjonene til Yubikeys og Thales SafeNet-tokens, vennligst se denne SSL.com-artikkelen: Yubikey FIPS-tokens vs Thales/Gemalto USB-tokens. Både Yubikey og Thales SafeNet-tokens er designet for å øke sikkerheten uten å gå på bekostning av brukeropplevelsen. Valget mellom dem bør styres av organisasjonens sikkerhetstilnærming og operasjonelle behov. Som fysiske enheter kan de imidlertid mistes eller stjeles, noe som utgjør betydelige sikkerhetsrisikoer og potensielt pådra seg høye erstatningskostnader. I en moderne ekstern arbeidsinnstilling kan logistikken med å distribuere og vedlikeholde disse maskinvaretokenene utgjøre betydelige utfordringer for IT-team, som krever betydelige utgifter og arbeidskraft. I tillegg tilbyr ikke disse tokens det samme nivået av bekvemmelighet som skybaserte løsninger, spesielt for utviklere som arbeider innenfor en CI/CD-pipeline.

Cloud HSM

Et annet alternativ for EV-kodesignering er å bruke en nettverkstilkoblet HSM i skyen for å være vert for kodesigneringssertifikater og nøkler. Denne metoden tilbyr et sammenlignbart sikkerhetsnivå som et USB-token når HSM er konfigurert til å ha ikke-eksporterbare nøkler under nøkkelgenereringen. Med nøkkelmaterialet tilgjengelig i skyen, blir integrasjon med CI/CD-tjenester enklere, og det samme gjør teamsamarbeid med samme sertifikat og nøkkelmateriale. Det skal bemerkes at denne metoden kan kreve ekspertise hos den aktuelle skytjenesteleverandøren. For utstedelse av kodesigneringssertifikater støtter SSL.com ulike Cloud HSM-er, inkludert Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM og Google Cloud HSM. For å få mer informasjon om hver enkelt, kan du lese vår guide: Støttede Cloud HSM-er for dokumentsignering og EV-kodesignering.

  • For å vite hvordan du kan bruke HSM-kontoen din og ansette en profesjonell for Cloud HSM Attestation, kan du lese artikkelen vår Ta med din egen Auditor Cloud HSM-attest.
  • SSL.com utvikler og tester for tiden attestasjonsprosedyrer for et bredt spekter av HSM-plattformer. Du kan fylle ut dette spørreskjema for å finne ut om vi tester en HSM-plattform som ikke var oppført ovenfor.

eSigner: Kodesignering som en tjeneste

For det tredje, en moderne og veldig praktisk tilnærming til EV Code Signing handler om kodesignering som en tjeneste. SSL.coms eSigner skykodesigneringstjeneste er et eksempel på denne metoden.  Med eSigner håndterer SSL.com begge infrastrukturen for offentlig nøkkel (PKI) og HSM for kodesignering. De ikke-eksporterbare signeringsnøklene lagres i eSigners HSM-er, hvor verken kunden eller SSL.com kan se dem. På denne måten er sikkerhetsstandarden like høy som med tokens og HSM-er, men det er ikke noe behov for klienten å håndtere dem direkte. ESigner-miljøet inkluderer en rekke signeringsalternativer for å imøtekomme behovene til en rekke kunder, fra individuelle utviklere til komplekse organisasjoner.

eSigner-signeringsalternativer

  • Med SSL.coms eSigner-tjeneste kan du bruke ditt SSL.com Extended Validation Code Signing-sertifikat til å signere kode fra hvilken som helst Internett-tilkoblet enhet uten ekstra maskinvare. Etter å ha registrert din EV Code Signing-sertifikatbestilling i eSigner, kan du signere kode med enten eSigner Express nettapp, eSigner CodeSignTool eller gjennom SSL.coms CSC-kompatible kodesignerings-API

eSigner-støttede filtyper

Komme i gang med kodesigneringssertifikatet:

Når du mottar ditt nye kodesigneringssertifikat, kan du ha spørsmål om hvordan du bruker det og hvilke applikasjoner det kan integreres med. De koblede veiledningene nedenfor svarer på vanlige spørsmål du måtte ha om hvordan du kommer i gang med det nye sertifikatet ditt.

Komme i gang med eSigner Cloud Code Signing

Nedenfor er ressurser som kan gi deg mer informasjon om hvordan du bruker eSigners grensesnitt og konfigurerer det for teamorienterte oppgaver.

Bruke Yubikeys

Sertifikater som EV Code Signing bestilt fra SSL.com kommer med muligheten til å komme forhåndsinstallert i en Hardware Security Module (HSM) som en FIPS 140-2 validert sikkerhetsnøkkel USB-token. Hvis sertifikatet ditt ennå ikke er validert, kan du inkludere antall tokens du trenger ved bestilling og før du fullfører valideringsprosessen. I tilfelle sertifikatet ditt allerede er utstedt, har du fortsatt muligheten til å bestille flere tokens. For å vite hvordan du legger til Yubikeys til ditt EV Code Signing-sertifikat, klikk på denne veiledningen: Slik legger du til YubiKeys i sertifikatbestillingen din Hvis du allerede har en Yubikey, kan du se følgende veiledninger for hvordan du bruker den:

Automatisering og integrasjon

eSigner CKA (Cloud Key Adapter)

  •  eSigner CKA (Cloud Key Adapter) er en Windows-basert applikasjon som bruker CNG-grensesnittet (KSP Key Service Provider) for å tillate verktøy som certutil.exe og signtool.exe å bruke eSigner CSC for automatiserte kodesigneringsoperasjoner. eSigner CKA fungerer som et virtuelt USB-token og laster kodesigneringssertifikatene til sertifikatlageret. 

eSigner og CodeSignTool for automatisert EV-kodesignering

  • CodeSignTool er ideell for automatiserte batchprosesser for signering av store volum eller integrering i eksisterende CI/CD-pipeline-arbeidsflyter.
  • Les vår CodeSignTool guide om hvordan du signerer kodeobjekter uten å bli bedt om manuell OTP-oppføring for hver fil.
  • Head over til Kommandoveiledning for eSigner CodeSign Tool for å vite mer om støttede kommandoer, alternativer og parametere.

Spesifikke CI/CD-tjenesteintegrasjonsveiledninger

Nedenfor er spesifikke guider for hvordan du automatiserer kodesignering ved hjelp av eSigner for de mest populære CI/CD-plattformene. Lær mer om verdien av skybasert kodesignering ved å lese artikkelen vår: Skykodesigneringsautomatisering med CI/CD-tjenester.

Tester EV-kodesignering i sandkassen

SSL.com opprettholder et eget «sandbox»-miljø for vår eSigner skysigneringstjeneste slik at brukere kan eksperimentere med de forskjellige appene, verktøyene og APIene før de arbeider med live EV-kode signering sertifikater. < ul>
  • Gå over til vår fremgangsmåte-artikkel som inkluderer eSigner-demolegitimasjon, QR-koder og konfigurasjonsinformasjon for å lette eksperimentell bruk av eSigner Express Sandkasse, CodeSign Toolog CCS, Kodesignering.
  • For en fullstendig veiledning om hvordan du setter opp en sandkassekonto, oppretter en testordre og bruker Sandbox med SSL.coms SWS API, kan du lese guideartikkelen vår: Bruker SSL.com Sandbox for testing og integrering.

  • Spesifikke miljøveiledninger

    SSL.coms EV Code Signing-sertifikater kan brukes i ulike kodesigneringsmiljøer. Se artiklene nedenfor for spesifikke veiledninger:  Bortsett fra de som er angitt ovenfor, er det flere miljøer som SSL.com-kodesigneringssertifikater er kompatible med. Kontakt support@ssl.com eller bruk nettchatten for spørsmål om andre miljøer.
     

    Kontakt SSL.com salgsteam

    Hvis du trenger noen til å lede deg gjennom alle kodesigneringsalternativene våre, diskutere tilpassede integrasjoner, høyvolumavtaler, tilbud eller andre tilpassede løsninger, kan du alltid kontakte salgsteamet vårt på sales@ssl.com eller fylle ut skjemaet nedenfor.


    Twitter
    Facebook
    Linkedin
    Reddit
    Epost

    Hold deg informert og sikker

    SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

    Vi vil gjerne ha tilbakemeldinger

    Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.