Kodesigneringssertifikater, skysigneringsalternativer og integrering av signeringsoperasjoner

Hva er et kodesigneringssertifikat?

Et kodesigneringssertifikat er et digitalt sertifikat som gir et globalt akseptert bevis på identiteten til en programvareutgiver og kan fås fra en anerkjent sertifikatmyndighet (CA) som SSL.com. Programvareselskaper bruker kodesigneringssertifikater for å bevise at de er utviklere av en applikasjon. 

Kodesigneringssertifikater forhindrer også tukling av kode og sikrer at en fil er fri for uautoriserte endringer, skadelig programvare og er trygg å installere. Kodesigneringssertifikater er en viktig sikkerhetsfunksjon når programvare distribueres, selges og lastes ned online.  Digital signering av koden din med pålitelige SSL.com-sertifikater lar brukere og operativsystemer vite at programvaren din er autentisk og trygg å installere. Du kan alltid kontakte oss salgsgruppe for å forklare disse alternativene og gi et tilbud.

Velge riktig kodesigneringssertifikat

Organisasjonsvalidering (OV) og Individuell validering (IV) sertifikater omtales som High Assurance-sertifikater fordi de krever mer validering og dermed gir mer tillit, . For OV- og IV-sertifikater vil CA verifisere den faktiske organisasjonen eller den enkelte personen som prøver å få sertifikatet. Organisasjonens eller individets navn er også oppført i sertifikatet, noe som gir økt tillit til at sertifikatinnehaveren er anerkjent. OV-sertifikater brukes ofte av selskaper, myndigheter og andre enheter som ønsker å gi et ekstra lag med tillit til sine besøkende. Bortsett fra SSL/TLS sertifikater, OV og IV brukes også ofte til kodesignering, dokument signering, klientautentiseringog S/MIME e-sertifikater. For mer informasjon om krav, se SSL.com OV og IV krav. Individual Validation (IV) Code Signing Certificate bruker digitale signaturer med et personlig navn, perfekt for uavhengige programvareutviklere og individuelle prosjektbidragsytere som ønsker å øke tilliten og tilliten fra brukerne sine.  EV-sertifikater, også kjent som bedriftskodesigneringssertifikater, gir maksimal tillit til besøkende, og krever også mest mulig innsats fra CA for å validere. EV-sertifikater kan kun utstedes til bedrifter og andre registrerte organisasjoner, ikke til enkeltpersoner. SSL.com Eneeierskap EV-kodesigneringssertifikater legger til en persons identitet til standard EV-kodesigneringssertifikatet. Dette valideringsalternativet gjør det mulig for et enkeltpersonforetak eller individuell bidragsyter å inkludere navnet sitt i den digitale signaturen. Valideringsalternativet for enkeltpersonforetak er også for virksomheter som krever et ekstra lag med sikkerhet ved å inkludere en persons validerte identitet i den digitale signaturen. For å vite mer om funksjonene til disse sertifikatene, kan du lese artikkelen vår,  Hvilket kodesigneringssertifikat trenger jeg? EV eller OV? Med et raskt blikk er de definerende funksjonene til OV- og EV-kodesigneringssertifikater listet opp nedenfor.

IV-kodesigneringssertifikat:

• Bruker digitale signaturer med personnavn
• Perfekt for uavhengige programvareutviklere og individuelle prosjektbidragsytere

OV-kodesigneringssertifikat:

• Verifiserer identiteten din som programvareutgiver
• Beskytter programvaren din mot tukling og skadelig programvare

EV-kode signeringssertifikat:

• Evne til å signere både pre-Windows 10- og Windows 10-drivere
• Øyeblikkelig Microsoft SmartScreen-omdømme
• Ikke-utløp av signatur og tidsstempling
•  Evne til å logge på skyen ved hjelp av eSigner
• Enkeltmannsforetak EV-kodesigneringssertifikater legger til en persons identitet til standard EV-kodesigneringssertifikat

Sette opp og bruke SSL.com-kontoen din

Hvis du ikke allerede har gjort det, start med opprette en konto på SSL.com. Kontoen din har muligheten til å opprette flere team i tillegg til å invitere flere brukere med spesifikke rolle- og rettighetstilordninger.

Valideringsprosessen

For å validere og utstede et OV- eller IV-sertifikat, må SSL.com bekrefte din identitet, fysiske adresse og telefonnummer via verifiserbare nettressurser og/eller gyldige bekreftelsesdokumenter. For ytterligere detaljer om kravene kan du lese Hva er kravene til SSL.com OV- og IV-sertifikater?  I tillegg for bestillinger av IV-kodesigneringssertifikater, må søkere sende inn et bilde foran og bak av en ID pluss et bilde av dem som holder ID-en ved siden av ansiktet. I henhold til retningslinjer fastsatt av CA/Browser Forum, må ekstra dokumentasjon leveres for å utstede et EV-sertifikat. Gå over til FAQ: utvidet validering (EV) -prosess å kjenne alle kravene til EV-sertifikater. For enheter som ber om EV-kodesigneringssertifikater, SSL.com vil utføre validering både gjennom pålitelige nettressurser og/eller gyldige dokumenter samt ekstra dokumentasjon i henhold til retningslinjer satt av CA/nettleserforumet.  

Nye krav til nøkkellagring for OV- og IV-kodesigneringssertifikater

Fra og med 1. juni 2023, SSL.com Sertifikater for organisasjonsvalidering (OV) og individuell validering (IV) kodesigneringssertifikater vil bare bli utstedt enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gjennom vår eSigner skykodesigneringstjeneste. Denne endringen er i samsvar med Certificate Authority/Browser (CA/B) Forums nye krav til nøkkellagring for å øke sikkerheten for kodesigneringsnøkler. Den forrige regelen tillot OV- og IV-kodesigneringssertifikater å bli utstedt som nedlastbare filer fra internett. Siden de nye kravene kun tillater bruk av krypterte USB-tokens eller skybaserte FIPS-kompatible maskinvareenheter for å lagre sertifikatet og den private nøkkelen, forventes det at forekomster av kodesigneringsnøkler som blir stjålet og misbrukt av ondsinnede aktører vil bli kraftig redusert. Klikk denne koblingen å lære mer om SSL.com eSigner skykodesigneringsløsning.

Nøkkellagring og signeringsmetoder for utvidede valideringskodesigneringssertifikater 

USB-token

Den vanligste tilnærmingen til EV-kodesignering er å bruke en Hardware Security Module (HSM) som et USB-token som lagrer EV Code Signing-sertifikatet og fungerer som en nøkkel i signering av programvarekode. Sammenlignet med å lagre sertifikatet på en lokal maskin, scorer et USB-token godt på håndholdt sikkerhet og portabilitet. En begrensning for det er imidlertid at det kan være ganske dyrt å kjøpe og administrere flere tokens, og de er ikke så fleksible sammenlignet med skybaserte alternativer.  SSL.com gir sikker privat nøkkellagring og fysisk 2FA-sikkerhet med et Yubikey FIPS USB-token. Denne USB-enheten legger til anti-tukling beskyttelse til programvaren din fordi bare de personene som faktisk har den vil få lov til å digitalt signere en kode til programmene eller programmene dine.

Cloud HSM

Et annet alternativ for EV-kodesignering er å bruke en nettverkstilkoblet HSM i skyen for å være vert for kodesigneringssertifikater og nøkler. Denne metoden tilbyr et sammenlignbart sikkerhetsnivå som et USB-token siden de private nøklene heller ikke kan eksporteres. Fordi kodesignering utføres gjennom skyen, oppnås et skalerbart samarbeid mellom utviklere. Det bør imidlertid bemerkes at denne metoden kan kreve ekspertise hos den bestemte skytjenesteleverandøren. For utstedelse av EV-kodesigneringssertifikater støtter SSL.com tre Cloud HSM-er: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM og Google Cloud HSM. For å få mer informasjon om hver enkelt, kan du lese vår guideartikkel: Støttede Cloud HSM-er for dokumentsignering og EV-kodesignering.

• For å vite hvordan du kan bruke HSM-kontoen din og ansette en profesjonell for Cloud HSM Attestation, kan du lese artikkelen vår Ta med din egen Auditor Cloud HSM-attest.
• SSL.com utvikler og tester for tiden attestasjonsprosedyrer for et bredt spekter av HSM-plattformer. Du kan fylle ut dette spørreskjema for å finne ut om vi tester en HSM-plattform som ikke var oppført ovenfor.

eSigner: Kodesignering som en tjeneste

For det tredje, en moderne og veldig praktisk tilnærming til EV Code Signing handler om kodesignering som en tjeneste. SSL.coms eSigner skykodesigneringstjeneste er et eksempel på denne metoden.  Med eSigner håndterer SSL.com begge infrastrukturen for offentlig nøkkel (PKI) og HSM for kodesignering. De ikke-eksporterbare signeringsnøklene lagres i eSigners HSM-er, hvor verken kunden eller SSL.com kan se dem. På denne måten er sikkerhetsstandarden like høy som med tokens og HSM-er, men det er ikke noe behov for klienten å håndtere dem direkte. ESigner-miljøet inkluderer en rekke signeringsalternativer for å imøtekomme behovene til en rekke kunder, fra individuelle utviklere til komplekse organisasjoner.

eSigner-signeringsalternativer

• Med SSL.coms eSigner-tjeneste kan du bruke ditt SSL.com Extended Validation Code Signing-sertifikat til å signere kode fra hvilken som helst Internett-tilkoblet enhet uten ekstra maskinvare. Etter å ha registrert din EV Code Signing-sertifikatbestilling i eSigner, kan du signere kode med enten eSigner Express nettapp, eSigner CodeSignTool eller gjennom SSL.coms CSC-kompatible kodesignerings-API. 

eSigner-støttede filtyper

• Du kan lese vår guide, eSigner-støttede filtyper, for å vite hvilke filtyper som støttes av eSigner Express og eSigner API.

Komme i gang med kodesigneringssertifikatet:

Når du mottar ditt nye kodesigneringssertifikat, kan du ha spørsmål om hvordan du bruker det og hvilke applikasjoner det kan integreres med. De koblede veiledningene nedenfor svarer på vanlige spørsmål du måtte ha om hvordan du kommer i gang med det nye sertifikatet ditt.

• Hvordan kjøpe kodesignerings- og EV-kodesigneringssertifikater fra SSL.com
• Slik installerer du et SSL.com OV-kodesigneringssertifikat på Windows 10
• FAQ: Komme i gang med ditt EV-kodesigneringssertifikat
• Registrer deg med Windows Hardware Developer Program for å signere drivere med EV Code Signing
• Hvordan bruke din OV- eller EV-kodesigneringssertifikat med Microsofts SignTool og SSL.com SSL Manager

Komme i gang med eSigner Cloud Code Signing

• Tjenestefunksjoner til eSigner
• Registrer deg i eSigner
• Velge et signaturabonnement
  • eSigner-priser for kodesignering
  • eSigner-priser for dokumentsignering
  • Slik endrer du eSigner-nivå

Nedenfor er ressurser som kan gi deg mer informasjon om hvordan du bruker eSigners grensesnitt og konfigurerer det for teamorienterte oppgaver.

• Vanlige spørsmål om eSigner
• Slik viser og tilbakestiller du eSigner QR-kode eller tilbakestiller PIN
• Team Sharing for eSigner Document and EV Code Signing Certificate

Bruke Yubikeys

Sertifikater som EV Code Signing bestilt fra SSL.com kommer med muligheten til å komme forhåndsinstallert i en Hardware Security Module (HSM) som en FIPS 140-2 validert sikkerhetsnøkkel USB-token. Hvis sertifikatet ditt ennå ikke er validert, kan du inkludere antall tokens du trenger ved bestilling og før du fullfører valideringsprosessen. I tilfelle sertifikatet ditt allerede er utstedt, har du fortsatt muligheten til å bestille flere tokens. For å vite hvordan du legger til Yubikeys til ditt EV Code Signing-sertifikat, klikk på denne veiledningen: Slik legger du til YubiKeys i sertifikatbestillingen din Hvis du allerede har en Yubikey, kan du se følgende veiledninger for hvordan du bruker den:

• YubiKey-hurtiginstruksjoner
• Slik fjerner du blokkeringen av YubiKey PIN
• Slik får du tilgang til din Yubikey FIPS PIN og PUK
• Hva om EV-kodesigneringstokenet mitt er tomt?
• Hvordan installere SSL.com rot- og mellomsertifikater på YubiKey
• Hvordan utføre nøkkelgenerering og attestasjon med Yubikey

Automatisering og integrasjon

eSigner CKA (Cloud Key Adapter)

•  eSigner CKA (Cloud Key Adapter) er en Windows-basert applikasjon som bruker CNG-grensesnittet (KSP Key Service Provider) for å tillate verktøy som certutil.exe og signtool.exe å bruke eSigner CSC for automatiserte kodesigneringsoperasjoner. eSigner CKA fungerer som et virtuelt USB-token og laster kodesigneringssertifikatene til sertifikatlageret. 

eSigner og CodeSignTool for automatisert EV-kodesignering

• CodeSignTool er ideell for automatiserte batchprosesser for signering av store volum eller integrering i eksisterende CI/CD-pipeline-arbeidsflyter.
• Les vår CodeSignTool guide om hvordan du signerer kodeobjekter uten å bli bedt om manuell OTP-oppføring for hver fil.
• Head over til Kommandoveiledning for eSigner CodeSign Tool for å vite mer om støttede kommandoer, alternativer og parametere.

Spesifikke CI/CD-tjenesteintegrasjonsveiledninger

Nedenfor er spesifikke guider for hvordan du automatiserer kodesignering ved hjelp av eSigner for de mest populære CI/CD-plattformene.

• Cloud Code Signing-integrasjon med CircleCI
• Cloud Code Signing-integrasjon med GitHub Actions
• Cloud Code Signing-integrasjon med GitLab CI
• Cloud Code Signing-integrasjon med Travis CI
• Cloud Code Signing-integrasjon med Jenkins CI
• Cloud Code Signing-integrasjon med Azure DevOps

Lær mer om verdien av skybasert kodesignering ved å lese artikkelen vår: Skykodesigneringsautomatisering med CI/CD-tjenester.

Tester EV-kodesignering i sandkassen

SSL.com opprettholder et eget «sandbox»-miljø for vår eSigner skysigneringstjeneste slik at brukere kan eksperimentere med de forskjellige appene, verktøyene og APIene før de arbeider med live EV-kode signering sertifikater.

• Gå over til vår fremgangsmåte-artikkel som inkluderer eSigner-demolegitimasjon, QR-koder og konfigurasjonsinformasjon for å lette eksperimentell bruk av eSigner Express Sandkasse, CodeSign Toolog CCS, Kodesignering.
• For en fullstendig veiledning om hvordan du setter opp en sandkassekonto, oppretter en testordre og bruker Sandbox med SSL.coms SWS API, kan du lese guideartikkelen vår: Bruker SSL.com Sandbox for testing og integrering.

Spesifikke miljøveiledninger

SSL.coms EV Code Signing-sertifikater kan brukes i ulike kodesigneringsmiljøer. Se artiklene nedenfor for spesifikke veiledninger: 

• Signering av Java-koden med et OV/IV- eller EV-kodesigneringssertifikat
• Signering av kjernemodus-drivere for Windows ved å bruke EV- eller OV-kodesigneringssertifikater
• FAQ: Kernel-modus kode signeringssertifikater
• Bruke Jsign fra Linux-kommandolinjen for OV/IV-kodesignering og EV-kodesignering
• Kodesignering med Azure DevOps, ved hjelp av et sertifikat lagret i Azure Key Vault

Bortsett fra de som er angitt ovenfor, er det flere miljøer som SSL.com-kodesigneringssertifikater er kompatible med. Kontakt support@ssl.com eller bruk nettchatten for spørsmål om andre miljøer.

Kontakt salgsavdelingen eller kontakt kundestøtte

Hvis du trenger noen til å lede deg gjennom alle kodesigneringsalternativene våre, diskutere tilpassede integrasjoner, høyvolumsavtaler, tilbud eller andre tilpassede løsninger, kan du alltid kontakte salgs- eller supportteamene våre.

Kontakt skjema