Co to jest certyfikat podpisywania kodu?
Certyfikat do podpisywania kodu to certyfikat cyfrowy, który stanowi akceptowany na całym świecie dowód tożsamości wydawcy oprogramowania i można go uzyskać z renomowanego urzędu certyfikacji (CA), takiego jak SSL.com. Firmy produkujące oprogramowanie używają certyfikatów podpisywania kodu, aby udowodnić, że są twórcami aplikacji. Certyfikaty do podpisywania kodu zapobiegają również manipulowaniu kodem i zapewniają, że plik jest wolny od nieautoryzowanych modyfikacji, złośliwego oprogramowania i jest bezpieczny do zainstalowania. Certyfikaty podpisywania kodu są istotną funkcją bezpieczeństwa, gdy oprogramowanie jest dystrybuowane, sprzedawane i pobierane online. Cyfrowe podpisywanie kodu dzięki zaufanym certyfikatom SSL.com użytkownicy i systemy operacyjne wiedzą, że oprogramowanie jest autentyczne i bezpieczne w instalacji. Zawsze możesz skontaktować się z naszym Zespół sprzedaży aby wyjaśnić te opcje i przedstawić ofertę.Potrzebujesz certyfikatu do podpisywania kodu? SSL.com ma opcje, które spełnią Twoje potrzeby, dowiedz się więcej o naszych certyfikatach.
Wybór odpowiedniego certyfikatu podpisywania kodu
Certyfikaty z walidacją organizacji (OV) i walidacją indywidualną (IV) są określane jako certyfikaty o wysokiej pewności, ponieważ wymagają większej walidacji, a tym samym zapewniają większe zaufanie, . W przypadku certyfikatów OV i IV urząd certyfikacji zweryfikuje faktyczną organizację lub osobę, która próbuje uzyskać certyfikat. Nazwa organizacji lub osoby fizycznej jest również wymieniona w certyfikacie, co daje dodatkowe zaufanie, że posiadacz certyfikatu jest szanowany. Certyfikaty OV są często używane przez korporacje, rządy i inne podmioty, które chcą zapewnić dodatkową warstwę zaufania swoim odwiedzającym. Oprócz SSL/TLS certyfikaty, OV i IV są również powszechnie używane podpisywanie kodu, podpisywanie dokumentów, uwierzytelnianie klienta, S/MIME certyfikaty e-mail. Więcej informacji na temat wymagań można znaleźć na stronie SSL.com Wymagania OV i IV. Certyfikat podpisywania kodu z walidacją indywidualną (IV) stosuje podpisy cyfrowe z osobistym nazwiskiem, idealne dla niezależnych programistów i indywidualnych współtwórców projektów, którzy chcą zwiększyć zaufanie i zaufanie swoich użytkowników. Certyfikaty EV, znane również jako certyfikaty podpisywania kodu przedsiębiorstwa, zapewniają odwiedzającym maksymalny poziom zaufania, a także wymagają największego wysiłku ze strony urzędu certyfikacji. Certyfikaty EV mogą być wydawane tylko firmom i innym zarejestrowanym organizacjom, a nie osobom fizycznym. Certyfikaty SSL.com Sole Proprietorship EV Code Signing dodają tożsamość osoby do standardowego certyfikatu EV Code Signing. Ta opcja sprawdzania poprawności umożliwia jednoosobowej działalności gospodarczej lub indywidualnemu kontrybutorowi umieszczenie swojego nazwiska w podpisie cyfrowym. Opcja weryfikacji wyłącznego właściciela jest również przeznaczona dla przedsiębiorstw, które wymagają dodatkowej warstwy bezpieczeństwa poprzez uwzględnienie zweryfikowanej tożsamości osoby w podpisie cyfrowym. Aby dowiedzieć się więcej o funkcjach tych certyfikatów, możesz przeczytać nasz artykuł, Jakiego certyfikatu podpisującego kod potrzebuję? EV czy OV? Na pierwszy rzut oka, definiujące cechy certyfikatów do podpisywania kodów OV i EV są wymienione poniżej.Certyfikat podpisywania kodu IV:
- Stosuje podpisy cyfrowe z osobistym nazwiskiem
- Idealny dla niezależnych programistów i indywidualnych współtwórców projektów
Certyfikat podpisywania kodu OV:
- Weryfikuje Twoją tożsamość jako wydawcy oprogramowania
- Chroni oprogramowanie przed manipulacją i infekcją złośliwym oprogramowaniem
Certyfikat podpisywania kodu EV:
- Możliwość podpisywania sterowników starszych niż Windows 10 i Windows 10
- Natychmiastowa reputacja Microsoft SmartScreen
- Nie wygaśnięcie podpisu i znacznik czasu
- Możliwość podpisywania się w chmurze za pomocą eSigner
- Certyfikaty podpisywania kodów EV jednoosobowych dodają tożsamość osoby do standardowego certyfikatu podpisywania kodów EV
Konfiguracja i korzystanie z konta SSL.com
Jeśli jeszcze tego nie zrobiłeś, zacznij od zakładanie konta na SSL.com. Twoje konto umożliwia tworzenie wielu zespołów, a także zapraszanie wielu użytkowników z określonymi rolami i przypisanymi uprawnieniami.Proces walidacji
Aby zweryfikować i wydać certyfikat OV lub IV, SSL.com musi zweryfikować Twoją tożsamość, adres fizyczny i numer telefonu za pomocą weryfikowalnych zasobów internetowych i/lub ważnych dokumentów weryfikacyjnych. Aby uzyskać więcej informacji na temat wymagań, możesz przeczytać Jakie są wymagania dotyczące certyfikatów SSL.com OV i IV? Dodatkowo, w przypadku zamówień na Certyfikat IV Code Signing Certificate, wnioskodawcy będą musieli przesłać przedni i tylny obraz dowodu tożsamości oraz obraz przedstawiający ich trzymających dokument tożsamości obok twarzy. Zgodnie z wytycznymi określonymi przez CA/Browser Forum należy dostarczyć dodatkową dokumentację w celu wydania certyfikatu EV. Udaj się do Często zadawane pytania: proces rozszerzonej walidacji (EV) poznać wszystkie wymagania dotyczące certyfikatów EV. W przypadku podmiotów wnioskujących o certyfikaty EV Code Signing, SSL.com przeprowadzi weryfikację zarówno przy użyciu zaufanych zasobów internetowych i/lub ważnych dokumentów, jak i dodatkowej dokumentacji zgodnie z wytycznymi określonymi przez CA/Forum przeglądarek.Nowe wymagania dotyczące przechowywania kluczy dla certyfikatów podpisywania kodu OV i IV
Od 1 czerwca 2023 r. SSL.com Certyfikaty walidacji organizacji (OV) i walidacji indywidualnej (IV) będą wydawane wyłącznie na tokenach USB Federal Information Processing Standard 140-2 (FIPS 140-2) lub za pośrednictwem naszej usługi podpisywania kodu w chmurze eSigner. Ta zmiana jest zgodna z nowymi wymaganiami dotyczącymi przechowywania kluczy Forum urzędu certyfikacji/przeglądarki (CA/B) w celu zwiększenia bezpieczeństwa kluczy do podpisywania kodu. Poprzednia reguła zezwalała na wydawanie certyfikatów podpisywania kodu OV i IV w postaci plików do pobrania z Internetu. Ponieważ nowe wymagania zezwalają jedynie na używanie zaszyfrowanych tokenów USB lub sprzętowych urządzeń zgodnych ze standardem FIPS opartych na chmurze do przechowywania certyfikatu i klucza prywatnego, oczekuje się, że przypadki kradzieży i niewłaściwego wykorzystania kluczy do podpisywania kodu przez złośliwe podmioty zostaną znacznie ograniczone. Kliknij pod tym linkiem aby dowiedzieć się więcej o SSL.com Rozwiązanie do podpisywania kodu w chmurze eSigner.Przechowywanie kluczy i metody podpisywania dla certyfikatów podpisywania kodu rozszerzonej walidacji
Token USB
SSL.com dostarcza certyfikaty do podpisywania kodu, które są wstępnie zainstalowane na tokenach Yubikey FIPS i tokenach USB Thales SafeNet (Gemalto).Tokeny Thales SafeNet obsługują klucze RSA o długości do 3072 bitów, co jest niezbędne do podpisywania w trybie jądra i jest warunkiem koniecznym w niektórych środowiskach programistycznych, takich jak podpisywanie sterowników w systemach Microsoft.
Poprzez procedurę znaną jako zdalne poświadczenie, klienci SSL.com, niezależnie od swojej lokalizacji, mogą utworzyć parę kluczy bezpośrednio na swoim YubiKey, wraz z certyfikatem poświadczenia, który weryfikuje generowanie klucza prywatnego na urządzeniu. Certyfikat poświadczenia może być następnie użyty do odnowienia wygasłego certyfikatu, który znajduje się w Yubikey. Obsługa zdalnego poświadczenia to jedna z funkcji, która jest obecnie niedostępna dla klientów tokenów Thales. Aby uzyskać bardziej szczegółowe porównanie funkcji tokenów Yubikeys i Thales SafeNet, zapoznaj się z tym artykułem SSL.com: Tokeny Yubikey FIPS vs tokeny USB Thales/Gemalto.
Zarówno tokeny Yubikey, jak i Thales SafeNet zostały zaprojektowane w celu zwiększenia bezpieczeństwa bez znaczącego pogorszenia jakości obsługi użytkownika. Wybór między nimi powinien być podyktowany podejściem organizacji do bezpieczeństwa i potrzebami operacyjnymi. Jednak jako urządzenia fizyczne mogą zostać zgubione lub skradzione, co stwarza znaczne ryzyko dla bezpieczeństwa i potencjalnie wiąże się z wysokimi kosztami wymiany. W nowoczesnym środowisku pracy zdalnej logistyka dystrybucji i konserwacji tych tokenów sprzętowych może stanowić poważne wyzwanie dla zespołów IT, wymagając znacznych wydatków i siły roboczej. Ponadto tokeny te nie oferują takiego samego poziomu wygody jak rozwiązania oparte na chmurze, szczególnie dla programistów pracujących w ramach potoku CI/CD.
Chmura HSM
Drugą opcją podpisywania kodu EV jest użycie sieciowego HSM w chmurze do hostowania certyfikatów i kluczy do podpisywania kodu. Ta metoda oferuje porównywalny poziom bezpieczeństwa jak token USB, ponieważ klucze prywatne również nie są eksportowalne. Ponieważ podpisywanie kodu odbywa się za pośrednictwem chmury, skalowalna współpraca amOsiągnięto poziom programistów. Należy jednak zauważyć, że ta metoda może wymagać wiedzy specjalistycznej od konkretnego dostawcy usług w chmurze. W celu wydawania certyfikatów podpisujących kod EV, SSL.com obsługuje trzy moduły Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM i Google Cloud HSM. Aby uzyskać więcej informacji na temat każdego z nich, przeczytaj nasz artykuł przewodnika: Obsługiwane moduły HSM w chmurze do podpisywania dokumentów i podpisywania kodu EV.- Aby dowiedzieć się, jak korzystać z konta HSM i zatrudnić specjalistę do Cloud HSM Atestation, przeczytaj nasz artykuł Przynieś własny certyfikat audytora Cloud HSM.
- SSL.com obecnie opracowuje i testuje procedury atestacji dla szerokiej gamy platform HSM. Możesz to wypełnić formularz zapytania aby dowiedzieć się, czy testujemy platformę HSM, która nie została wymieniona powyżej.
eSigner: podpisywanie kodu jako usługa
Po trzecie, nowoczesnym i bardzo wygodnym podejściem do EV Code Signing jest zajmowanie się podpisywaniem kodu jako usługą. Przykładem tej metody jest usługa podpisywania kodu w chmurze eSigner firmy SSL.com. Dzięki eSigner, SSL.com obsługuje zarówno infrastrukturę klucza publicznego (PKI) i HSM do podpisywania kodu. Nieeksportowalne klucze podpisu są przechowywane w HSM eSigner, gdzie ani klient, ani SSL.com nie mogą ich wyświetlić. W ten sposób standard bezpieczeństwa jest tak samo wysoki, jak w przypadku tokenów i modułów HSM w chmurze, ale klient nie musi się nimi zajmować bezpośrednio. Środowisko eSigner zawiera wiele opcji podpisywania, aby zaspokoić potrzeby różnych klientów, od indywidualnych programistów po złożone organizacje.Opcje podpisywania eSigner
- Dzięki usłudze eSigner firmy SSL.com możesz używać certyfikatu podpisywania kodu rozszerzonej weryfikacji SSL.com do podpisywania kodu z dowolnego urządzenia podłączonego do Internetu bez dodatkowego sprzętu. Po zarejestrowaniu zamówienia certyfikatu EV Code Signing w eSigner możesz podpisać kod za pomocą: Aplikacja internetowa eSigner Express, Narzędzie CodeSigner do podpisu elektronicznego lub za pośrednictwem protokołu SSL.com zgodnego z CSC API do podpisywania kodu.
Obsługiwane typy plików eSigner
- Możesz przeczytać nasz przewodnik, Obsługiwane typy plików eSigner, aby dowiedzieć się, jakie typy plików są obsługiwane przez eSigner Express i eSigner API.
Pierwsze kroki z certyfikatem podpisywania kodu:
Po otrzymaniu nowego certyfikatu do podpisywania kodu możesz mieć pytania, jak z niego korzystać i z jakimi aplikacjami można go zintegrować. Poniższe połączone przewodniki odpowiadają na często zadawane pytania dotyczące rozpoczęcia pracy z nowym certyfikatem.- Jak kupić certyfikaty do podpisywania kodu i podpisywania kodu EV na stronie SSL.com?
- Jak zainstalować certyfikat podpisywania kodu SSL.com OV w systemie Windows 10?
- FAQ: Pierwsze kroki z certyfikatem do podpisywania kodu EV
- Zarejestruj się w programie Windows Hardware Developer, aby podpisywać sterowniki za pomocą EV Code Signing
- Jak korzystać z certyfikatu do podpisywania kodu OV lub EV za pomocą SignTool firmy Microsoft i SSL.com SSL Manager
Pierwsze kroki z eSigner Cloud Code Signing
- Funkcje usługi eSigner
- Zarejestruj się w eSigner
- Wybór subskrypcji podpisu
- Często zadawane pytania dotyczące eSigner
- Jak wyświetlić i zresetować kod QR eSigner lub zresetować kod PIN
- Udostępnianie zespołowe dla dokumentów eSigner i certyfikatów podpisywania kodu EV
Korzystanie z Yubikeys
Certyfikaty, takie jak EV Code Signing, zamawiane w SSL.com, są dostarczane z opcją preinstalacji w module zabezpieczeń sprzętowych (HSM), takim jak token USB z kluczem bezpieczeństwa z certyfikatem FIPS 140-2. Jeśli Twój certyfikat nie został jeszcze zweryfikowany, możesz podać liczbę tokenów, których potrzebujesz podczas składania zamówienia i przed zakończeniem procesu walidacji. W przypadku, gdy Twój certyfikat został już wydany, nadal masz możliwość zamówienia dodatkowych tokenów. Aby dowiedzieć się, jak dodać Yubikeys do certyfikatu EV Code Signing, kliknij ten przewodnik: Jak dodać YubiKeys do zamówienia certyfikatu? Jeśli masz już Yubikey, możesz zapoznać się z następującymi przewodnikami, jak go obsługiwać:- Szybkie instrukcje YubiKey
- Jak odblokować kod PIN YubiKey
- Jak uzyskać dostęp do kodu PIN i PUK Yubikey FIPS?
- Co się stanie, jeśli mój token podpisywania kodu EV jest pusty?
- Jak zainstalować certyfikaty główne i pośrednie SSL.com na YubiKey?
- Jak przeprowadzić generowanie kluczy i atestację z Yubikey
Automatyzacja i Integracja
eSigner CKA (adapter klucza w chmurze)
- eSigner CKA (adapter klucza w chmurze) to aplikacja oparta na systemie Windows, która korzysta z interfejsu CNG (dostawcy usług kluczy KSP), aby umożliwić takim narzędziom, jak certutil.exe i signtool.exe, korzystanie z eSigner CSC w celu zautomatyzowanego podpisywania kodu. eSigner CKA działa jak wirtualny token USB i ładuje certyfikaty podpisywania kodu do magazynu certyfikatów.
eSigner i CodeSignTool do automatycznego podpisywania kodów EV
- CodeSignTool jest idealne do zautomatyzowanych procesów wsadowych dla podpisywania dużej ilości danych lub integracji z istniejącymi przepływami procesów CI/CD.
- Przeczytaj nasz Przewodnik po CodeSignTool jak podpisywać obiekty kodu bez monitowania o ręczny wpis OTP dla każdego pliku.
- Udaj się do Przewodnik po poleceniach narzędzia eSigner CodeSign aby dowiedzieć się więcej o obsługiwanych poleceniach, opcjach i parametrach.
Przewodniki integracji konkretnych usług CI/CD
Poniżej znajdują się szczegółowe instrukcje dotyczące automatyzacji podpisywania kodu za pomocą eSigner dla najpopularniejszych platform CI/CD.- Integracja Cloud Code Signing z CircleCI
- Integracja Cloud Code Signing z działaniami GitHub
- Integracja Cloud Code Signing z GitLab CI
- Integracja Cloud Code Signing z Travis CI
- Integracja Cloud Code Signing z Jenkins CI
- Integracja podpisywania kodu w chmurze z usługą Azure DevOps
- Integracja podpisywania kodu w chmurze z BitBucket
Testowanie podpisywania kodu EV w piaskownicy
SSL.com utrzymuje oddzielne środowisko „piaskownicy” dla naszej usługi podpisywania w chmurze eSigner, dzięki czemu użytkownicy mogą eksperymentować z różnymi aplikacjami, narzędziami i interfejsami API przed rozpoczęciem pracy na żywo Podpisywanie kodu EV certyfikaty.- Udaj się do naszego artykuł z instrukcjami który zawiera dane uwierzytelniające eSigner demo, kody QR i informacje o konfiguracji, aby ułatwić eksperymentalne użycie Piaskownica eSigner Express, Narzędzie CodeSign, CSC, Podpisywanie kodu.
- Aby uzyskać pełny przewodnik na temat konfigurowania konta w piaskownicy, tworzenia zamówienia testowego i korzystania z piaskownicy z interfejsem API SWS SSL.com, możesz przeczytać nasz artykuł przewodnika: Korzystanie z piaskownicy SSL.com do testowania i integracji.
Szczegółowe przewodniki środowiskowe
Certyfikaty EV Code Signing SSL.com mogą być używane w różnych środowiskach podpisywania kodu. Zapoznaj się z poniższymi artykułami, aby uzyskać szczegółowe przewodniki:- Podpisywanie kodu Java za pomocą certyfikatu podpisywania kodu OV/IV lub EV
- Podpisywanie sterowników trybu jądra dla systemu Windows przy użyciu certyfikatów podpisywania kodu EV lub OV
- FAQ: Certyfikaty do podpisywania kodów w trybie jądra
- Używanie Jsign z wiersza poleceń systemu Linux do podpisywania kodu OV/IV i podpisywania kodu EV
- Podpisywanie kodu za pomocą usługi Azure DevOps przy użyciu certyfikatu przechowywanego w Azure Key Vault