Certyfikaty podpisywania kodu, opcje podpisywania w chmurze i integracja operacji podpisywania

Co to jest certyfikat podpisywania kodu?

Certyfikat do podpisywania kodu to certyfikat cyfrowy, który stanowi akceptowany na całym świecie dowód tożsamości wydawcy oprogramowania i można go uzyskać z renomowanego urzędu certyfikacji (CA), takiego jak SSL.com. Firmy produkujące oprogramowanie używają certyfikatów podpisywania kodu, aby udowodnić, że są twórcami aplikacji. 

Certyfikaty do podpisywania kodu zapobiegają również manipulowaniu kodem i zapewniają, że plik jest wolny od nieautoryzowanych modyfikacji, złośliwego oprogramowania i jest bezpieczny do zainstalowania. Certyfikaty podpisywania kodu są istotną funkcją bezpieczeństwa, gdy oprogramowanie jest dystrybuowane, sprzedawane i pobierane online.  Cyfrowe podpisywanie kodu dzięki zaufanym certyfikatom SSL.com użytkownicy i systemy operacyjne wiedzą, że oprogramowanie jest autentyczne i bezpieczne w instalacji. Zawsze możesz skontaktować się z naszym Zespół sprzedaży aby wyjaśnić te opcje i przedstawić ofertę.
Potrzebujesz certyfikatu do podpisywania kodu? SSL.com ma opcje, które spełnią Twoje potrzeby, dowiedz się więcej o naszych certyfikatach.

Wybór odpowiedniego certyfikatu podpisywania kodu

Certyfikaty z walidacją organizacji (OV) i walidacją indywidualną (IV) są określane jako certyfikaty o wysokiej pewności, ponieważ wymagają większej walidacji, a tym samym zapewniają większe zaufanie, . W przypadku certyfikatów OV i IV urząd certyfikacji zweryfikuje faktyczną organizację lub osobę, która próbuje uzyskać certyfikat. Nazwa organizacji lub osoby fizycznej jest również wymieniona w certyfikacie, co daje dodatkowe zaufanie, że posiadacz certyfikatu jest szanowany. Certyfikaty OV są często używane przez korporacje, rządy i inne podmioty, które chcą zapewnić dodatkową warstwę zaufania swoim odwiedzającym. Oprócz SSL/TLS certyfikaty, OV i IV są również powszechnie używane podpisywanie kodu, podpisywanie dokumentów, uwierzytelnianie klienta, S/MIME certyfikaty e-mail. Więcej informacji na temat wymagań można znaleźć na stronie SSL.com Wymagania OV i IV. Certyfikat podpisywania kodu z walidacją indywidualną (IV) stosuje podpisy cyfrowe z osobistym nazwiskiem, idealne dla niezależnych programistów i indywidualnych współtwórców projektów, którzy chcą zwiększyć zaufanie i zaufanie swoich użytkowników.  Certyfikaty EV, znane również jako certyfikaty podpisywania kodu przedsiębiorstwa, zapewniają odwiedzającym maksymalny poziom zaufania, a także wymagają największego wysiłku ze strony urzędu certyfikacji. Certyfikaty EV mogą być wydawane tylko firmom i innym zarejestrowanym organizacjom, a nie osobom fizycznym. Certyfikaty SSL.com Sole Proprietorship EV Code Signing dodają tożsamość osoby do standardowego certyfikatu EV Code Signing. Ta opcja sprawdzania poprawności umożliwia jednoosobowej działalności gospodarczej lub indywidualnemu kontrybutorowi umieszczenie swojego nazwiska w podpisie cyfrowym. Opcja weryfikacji wyłącznego właściciela jest również przeznaczona dla przedsiębiorstw, które wymagają dodatkowej warstwy bezpieczeństwa poprzez uwzględnienie zweryfikowanej tożsamości osoby w podpisie cyfrowym. Aby dowiedzieć się więcej o funkcjach tych certyfikatów, możesz przeczytać nasz artykuł,  Jakiego certyfikatu podpisującego kod potrzebuję? EV czy OV? Na pierwszy rzut oka, definiujące cechy certyfikatów do podpisywania kodów OV i EV są wymienione poniżej.

Certyfikat podpisywania kodu IV:

  • Stosuje podpisy cyfrowe z osobistym nazwiskiem
  • Idealny dla niezależnych programistów i indywidualnych współtwórców projektów

Certyfikat podpisywania kodu OV:

  • Weryfikuje Twoją tożsamość jako wydawcy oprogramowania
  • Chroni oprogramowanie przed manipulacją i infekcją złośliwym oprogramowaniem

Certyfikat podpisywania kodu EV:

  • Możliwość podpisywania sterowników starszych niż Windows 10 i Windows 10
  • Natychmiastowa reputacja Microsoft SmartScreen
  • Nie wygaśnięcie podpisu i znacznik czasu
  •  Możliwość podpisywania się w chmurze za pomocą eSigner
  • Certyfikaty podpisywania kodów EV jednoosobowych dodają tożsamość osoby do standardowego certyfikatu podpisywania kodów EV

Konfiguracja i korzystanie z konta SSL.com

Jeśli jeszcze tego nie zrobiłeś, zacznij od zakładanie konta na SSL.com. Twoje konto umożliwia tworzenie wielu zespołów, a także zapraszanie wielu użytkowników z określonymi rolami i przypisanymi uprawnieniami.

Proces walidacji

Aby zweryfikować i wydać certyfikat OV lub IV, SSL.com musi zweryfikować Twoją tożsamość, adres fizyczny i numer telefonu za pomocą weryfikowalnych zasobów internetowych i/lub ważnych dokumentów weryfikacyjnych. Aby uzyskać więcej informacji na temat wymagań, możesz przeczytać Jakie są wymagania dotyczące certyfikatów SSL.com OV i IV?  Dodatkowo, w przypadku zamówień na Certyfikat IV Code Signing Certificate, wnioskodawcy będą musieli przesłać przedni i tylny obraz dowodu tożsamości oraz obraz przedstawiający ich trzymających dokument tożsamości obok twarzy. Zgodnie z wytycznymi określonymi przez CA/Browser Forum należy dostarczyć dodatkową dokumentację w celu wydania certyfikatu EV. Udaj się do Często zadawane pytania: proces rozszerzonej walidacji (EV) poznać wszystkie wymagania dotyczące certyfikatów EV. W przypadku podmiotów wnioskujących o certyfikaty EV Code Signing, SSL.com przeprowadzi weryfikację zarówno przy użyciu zaufanych zasobów internetowych i/lub ważnych dokumentów, jak i dodatkowej dokumentacji zgodnie z wytycznymi określonymi przez CA/Forum przeglądarek.  

Nowe wymagania dotyczące przechowywania kluczy dla certyfikatów podpisywania kodu OV i IV

Od 1 czerwca 2023 r. SSL.com Certyfikaty walidacji organizacji (OV) i walidacji indywidualnej (IV) będą wydawane wyłącznie na tokenach USB Federal Information Processing Standard 140-2 (FIPS 140-2) lub za pośrednictwem naszej usługi podpisywania kodu w chmurze eSigner. Ta zmiana jest zgodna z nowymi wymaganiami dotyczącymi przechowywania kluczy Forum urzędu certyfikacji/przeglądarki (CA/B) w celu zwiększenia bezpieczeństwa kluczy do podpisywania kodu. Poprzednia reguła zezwalała na wydawanie certyfikatów podpisywania kodu OV i IV w postaci plików do pobrania z Internetu. Ponieważ nowe wymagania zezwalają jedynie na używanie zaszyfrowanych tokenów USB lub sprzętowych urządzeń zgodnych ze standardem FIPS opartych na chmurze do przechowywania certyfikatu i klucza prywatnego, oczekuje się, że przypadki kradzieży i niewłaściwego wykorzystania kluczy do podpisywania kodu przez złośliwe podmioty zostaną znacznie ograniczone. Kliknij pod tym linkiem aby dowiedzieć się więcej o SSL.com Rozwiązanie do podpisywania kodu w chmurze eSigner.

Przechowywanie kluczy i metody podpisywania dla certyfikatów podpisywania kodu rozszerzonej walidacji 

Token USB

SSL.com dostarcza certyfikaty do podpisywania kodu, które są wstępnie zainstalowane na tokenach Yubikey FIPS i tokenach USB Thales SafeNet (Gemalto).

Tokeny Thales SafeNet obsługują klucze RSA o długości do 3072 bitów, co jest niezbędne do podpisywania w trybie jądra i jest warunkiem koniecznym w niektórych środowiskach programistycznych, takich jak podpisywanie sterowników w systemach Microsoft.

Poprzez procedurę znaną jako zdalne poświadczenie, klienci SSL.com, niezależnie od swojej lokalizacji, mogą utworzyć parę kluczy bezpośrednio na swoim YubiKey, wraz z certyfikatem poświadczenia, który weryfikuje generowanie klucza prywatnego na urządzeniu. Certyfikat poświadczenia może być następnie użyty do odnowienia wygasłego certyfikatu, który znajduje się w Yubikey. Obsługa zdalnego poświadczenia to jedna z funkcji, która jest obecnie niedostępna dla klientów tokenów Thales. Aby uzyskać bardziej szczegółowe porównanie funkcji tokenów Yubikeys i Thales SafeNet, zapoznaj się z tym artykułem SSL.com: Tokeny Yubikey FIPS vs tokeny USB Thales/Gemalto.  

Zarówno tokeny Yubikey, jak i Thales SafeNet zostały zaprojektowane w celu zwiększenia bezpieczeństwa bez znaczącego pogorszenia jakości obsługi użytkownika. Wybór między nimi powinien być podyktowany podejściem organizacji do bezpieczeństwa i potrzebami operacyjnymi. Jednak jako urządzenia fizyczne mogą zostać zgubione lub skradzione, co stwarza znaczne ryzyko dla bezpieczeństwa i potencjalnie wiąże się z wysokimi kosztami wymiany. W nowoczesnym środowisku pracy zdalnej logistyka dystrybucji i konserwacji tych tokenów sprzętowych może stanowić poważne wyzwanie dla zespołów IT, wymagając znacznych wydatków i siły roboczej. Ponadto tokeny te nie oferują takiego samego poziomu wygody jak rozwiązania oparte na chmurze, szczególnie dla programistów pracujących w ramach potoku CI/CD.

Chmura HSM

Drugą opcją podpisywania kodu EV jest użycie sieciowego HSM w chmurze do hostowania certyfikatów i kluczy do podpisywania kodu. Ta metoda oferuje porównywalny poziom bezpieczeństwa jak token USB, ponieważ klucze prywatne również nie są eksportowalne. Ponieważ podpisywanie kodu odbywa się za pośrednictwem chmury, skalowalna współpraca amOsiągnięto poziom programistów. Należy jednak zauważyć, że ta metoda może wymagać wiedzy specjalistycznej od konkretnego dostawcy usług w chmurze. W celu wydawania certyfikatów podpisujących kod EV, SSL.com obsługuje trzy moduły Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM i Google Cloud HSM. Aby uzyskać więcej informacji na temat każdego z nich, przeczytaj nasz artykuł przewodnika: Obsługiwane moduły HSM w chmurze do podpisywania dokumentów i podpisywania kodu EV.
  • Aby dowiedzieć się, jak korzystać z konta HSM i zatrudnić specjalistę do Cloud HSM Atestation, przeczytaj nasz artykuł Przynieś własny certyfikat audytora Cloud HSM.
  • SSL.com obecnie opracowuje i testuje procedury atestacji dla szerokiej gamy platform HSM. Możesz to wypełnić formularz zapytania aby dowiedzieć się, czy testujemy platformę HSM, która nie została wymieniona powyżej.

eSigner: podpisywanie kodu jako usługa

Po trzecie, nowoczesnym i bardzo wygodnym podejściem do EV Code Signing jest zajmowanie się podpisywaniem kodu jako usługą. Przykładem tej metody jest usługa podpisywania kodu w chmurze eSigner firmy SSL.com.  Dzięki eSigner, SSL.com obsługuje zarówno infrastrukturę klucza publicznego (PKI) i HSM do podpisywania kodu. Nieeksportowalne klucze podpisu są przechowywane w HSM eSigner, gdzie ani klient, ani SSL.com nie mogą ich wyświetlić. W ten sposób standard bezpieczeństwa jest tak samo wysoki, jak w przypadku tokenów i modułów HSM w chmurze, ale klient nie musi się nimi zajmować bezpośrednio. Środowisko eSigner zawiera wiele opcji podpisywania, aby zaspokoić potrzeby różnych klientów, od indywidualnych programistów po złożone organizacje.

Opcje podpisywania eSigner

Obsługiwane typy plików eSigner

  • Możesz przeczytać nasz przewodnik, Obsługiwane typy plików eSigner, aby dowiedzieć się, jakie typy plików są obsługiwane przez eSigner Express i eSigner API.

Pierwsze kroki z certyfikatem podpisywania kodu:

Po otrzymaniu nowego certyfikatu do podpisywania kodu możesz mieć pytania, jak z niego korzystać i z jakimi aplikacjami można go zintegrować. Poniższe połączone przewodniki odpowiadają na często zadawane pytania dotyczące rozpoczęcia pracy z nowym certyfikatem.

Pierwsze kroki z eSigner Cloud Code Signing

Poniżej znajdują się zasoby, które mogą dostarczyć więcej informacji na temat korzystania z interfejsu eSigner i konfigurowania go do zadań zorientowanych na zespół.

Korzystanie z Yubikeys

Certyfikaty, takie jak EV Code Signing, zamawiane w SSL.com, są dostarczane z opcją preinstalacji w module zabezpieczeń sprzętowych (HSM), takim jak token USB z kluczem bezpieczeństwa z certyfikatem FIPS 140-2. Jeśli Twój certyfikat nie został jeszcze zweryfikowany, możesz podać liczbę tokenów, których potrzebujesz podczas składania zamówienia i przed zakończeniem procesu walidacji. W przypadku, gdy Twój certyfikat został już wydany, nadal masz możliwość zamówienia dodatkowych tokenów. Aby dowiedzieć się, jak dodać Yubikeys do certyfikatu EV Code Signing, kliknij ten przewodnik: Jak dodać YubiKeys do zamówienia certyfikatu? Jeśli masz już Yubikey, możesz zapoznać się z następującymi przewodnikami, jak go obsługiwać:

Automatyzacja i Integracja

eSigner CKA (adapter klucza w chmurze)

  •  eSigner CKA (adapter klucza w chmurze) to aplikacja oparta na systemie Windows, która korzysta z interfejsu CNG (dostawcy usług kluczy KSP), aby umożliwić takim narzędziom, jak certutil.exe i signtool.exe, korzystanie z eSigner CSC w celu zautomatyzowanego podpisywania kodu. eSigner CKA działa jak wirtualny token USB i ładuje certyfikaty podpisywania kodu do magazynu certyfikatów. 

eSigner i CodeSignTool do automatycznego podpisywania kodów EV

  • CodeSignTool jest idealne do zautomatyzowanych procesów wsadowych dla podpisywania dużej ilości danych lub integracji z istniejącymi przepływami procesów CI/CD.
  • Przeczytaj nasz Przewodnik po CodeSignTool jak podpisywać obiekty kodu bez monitowania o ręczny wpis OTP dla każdego pliku.
  • Udaj się do Przewodnik po poleceniach narzędzia eSigner CodeSign aby dowiedzieć się więcej o obsługiwanych poleceniach, opcjach i parametrach.

Przewodniki integracji konkretnych usług CI/CD

Poniżej znajdują się szczegółowe instrukcje dotyczące automatyzacji podpisywania kodu za pomocą eSigner dla najpopularniejszych platform CI/CD. Dowiedz się więcej o wartości podpisywania kodu w chmurze, czytając nasz artykuł: Automatyzacja podpisywania kodu w chmurze z usługami CI/CD.

Testowanie podpisywania kodu EV w piaskownicy

SSL.com utrzymuje oddzielne środowisko „piaskownicy” dla naszej usługi podpisywania w chmurze eSigner, dzięki czemu użytkownicy mogą eksperymentować z różnymi aplikacjami, narzędziami i interfejsami API przed rozpoczęciem pracy na żywo Podpisywanie kodu EV certyfikaty.

Szczegółowe przewodniki środowiskowe

Certyfikaty EV Code Signing SSL.com mogą być używane w różnych środowiskach podpisywania kodu. Zapoznaj się z poniższymi artykułami, aby uzyskać szczegółowe przewodniki:  Oprócz tych wskazanych powyżej, istnieje więcej środowisk, z którymi certyfikaty podpisywania kodu SSL.com są kompatybilne. Kontakt support@ssl.com lub skorzystaj z czatu w witrynie, aby uzyskać pytania dotyczące innych środowisk.

Skontaktuj się z działem sprzedaży lub skontaktuj się z pomocą techniczną

Jeśli potrzebujesz kogoś, kto przeprowadzi Cię przez wszystkie nasze opcje podpisywania kodu, omówi niestandardowe integracje, duże transakcje, wyceny lub inne niestandardowe rozwiązania, zawsze możesz skontaktować się z naszymi zespołami sprzedaży lub wsparcia.

Formularz kontaktowy

Twitter
Facebook
LinkedIn
Reddit
E-mail

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.