Urzędy certyfikacji, takie jak SSL.com, zaostrzyły ostatnio standardy przechowywania kluczy dla certyfikatów podpisywania kodu, nakazując obecnie przechowywanie klucza prywatnego certyfikatu na fizycznym tokenie USB lub w zgodnym sprzętowym module zabezpieczeń (HSM).
Od 1 czerwca 2023 r. wszystkie certyfikaty do podpisywania kodu SSL.com nie są już wydawane w postaci plików pfx do pobrania. Ta zmiana jest zgodna z forum urzędu certyfikacji/przeglądarki (CA/B). nowe wymagania dotyczące przechowywania kluczy w celu zwiększenia bezpieczeństwa kluczy podpisujących kod. Poprzednia reguła umożliwiała wydawanie certyfikatów podpisywania kodu z weryfikacją organizacji (OV) i weryfikacją indywidualną (IV) w postaci plików do pobrania. Ponieważ nowe wymagania pozwalają na używanie wyłącznie zaszyfrowanych tokenów USB lub urządzeń sprzętowych zgodnych z FIPS w chmurze do przechowywania certyfikatu i klucza prywatnego, oczekuje się, że przypadki kradzieży i niewłaściwego wykorzystania kluczy do podpisywania kodu przez złośliwe podmioty zostaną znacznie ograniczone.
Chociaż użycie tokenów USB stwarza wyzwania w zakresie integracji z nowoczesnymi potokami CI/CD, a zarządzanie fizycznym modułem HSM w biurze może być kłopotliwe, istnieje wydajna alternatywa. Google Cloud oferuje praktyczne rozwiązanie: wynajęcie jednego miejsca na klucz w usłudze HSM. Takie podejście jest nie tylko opłacalne, ale także zgodne z najnowszymi standardami zgodności FIPS 140-2 poziom 2, a jednocześnie eliminuje potrzebę zarządzania urządzeniami fizycznymi. Ten artykuł przeprowadzi Cię przez proces konfiguracji tego rozwiązania pośredniego.
Certyfikaty podpisywania kodu EV SSL.com cieszą się zaufaniem na całym świecie w zakresie cyfrowego podpisywania kodu oprogramowania z bezpiecznymi podpisami cyfrowymi.
Zrozumienie procesu podpisywania kodu za pomocą modułu HSM opartego na chmurze
Aby zrozumieć istotę procedury podpisywania kodu z wykorzystaniem sprzętowego modułu bezpieczeństwa (HSM) działającego w chmurze, warto przyjrzeć się jego komponentom:- Certyfikat podpisywania kodu: certyfikat cyfrowy wydany przez zaufany urząd certyfikacji (CA), którego twórcy oprogramowania używają do cyfrowego podpisywania swojego oprogramowania, skryptów i plików wykonywalnych. Certyfikat ten służy jako podpis cyfrowy, który weryfikuje tożsamość programisty lub wydawcy i gwarantuje, że kod nie został zmieniony ani naruszony od czasu jego pierwotnego podpisania.
- Google Cloud: oferuje usługi wspierające tworzenie i wdrażanie bezpiecznego oprogramowania, w tym infrastrukturę do bezpiecznego generowania kluczy kryptograficznych używanych w procesie podpisywania kodu i zarządzania nimi.
- Google Cloud HSM do ochrony kluczy: solidny sprzętowy moduł bezpieczeństwa umieszczony w infrastrukturze Google Cloud, którego zadaniem jest zabezpieczenie Twojego klucza prywatnego przed nieautoryzowanym dostępem.
- Narzędzie do podpisywania: aplikacja lub narzędzie przeznaczone do cyfrowego podpisywania programów i aplikacji. Ten podpis cyfrowy gwarantuje użytkownikowi końcowemu, że oprogramowanie nie zostało zmienione ani naruszone od czasu podpisania go przez programistę lub wydawcę.
- Urząd znakowania czasem (TSA): zaufana usługa strony trzeciej, zazwyczaj zarządzana przez urząd certyfikacji (CA), którego zadaniem jest udowodnienie, że kod został podpisany w okresie ważności certyfikatu cyfrowego użytego do podpisywania, nawet jeśli certyfikat później wygasa lub zostaje unieważniona.
Rejestracja konta Google Cloud
Pierwszym krokiem w konfiguracji konfiguracji jest założenie konta w serwisie Platforma Google Cloud. Gdy Twoje konto będzie już aktywne, konieczne jest utworzenie nowego projektu i włączyć opcję Rozliczenia. Podanie informacji o płatności jest konieczne, aby móc kontynuować konfigurację.Wygeneruj parę kluczy, CSRi oświadczenie atestacyjne
Przed wystawieniem certyfikatów do podpisywania kodu lub zaufanych certyfikatów podpisywania dokumentów przez firmę Adobe witryna SSL.com wymaga potwierdzenia, że prywatny klucz podpisywania klienta został wygenerowany i jest bezpiecznie przechowywany w urządzeniu posiadającym certyfikat FIPS 140-2 poziom 2 (lub wyższy). Urządzenie to gwarantuje, że klucza nie uda się wydobyć, a weryfikacja tego zabezpieczenia nazywana jest poświadczeniem. Google Cloud HSM, wykorzystujący urządzenia wyprodukowane przez Marvell (wcześniej Cavium), jest w stanie generować podpisane oświadczenia zaświadczające dla kluczy kryptograficznych. SSL.com może zweryfikować te oświadczenia przed wydaniem certyfikatów do podpisywania dokumentów lub podpisywania kodu. Aby uzyskać wskazówki dotyczące generowania pary kluczy i oświadczenia o atestie, zapoznaj się z dokumentacją Google dotyczącą zarządzania kluczami w chmurze: Kiedy już będziesz mieć parę kluczy, CSRi gotowe oświadczenie atestacyjne, prześlij je do SSL.com w celu weryfikacji i wydania certyfikatu. The narzędzie open source przez użytkownika GitHuba kamienie do tworzenia CSR szczególnie przydatne może być podpisanie go kluczem prywatnym z Google Cloud HSM. SSL.com pobiera opłatę w wysokości 500.00 USD za atest Google Cloud HSM. Dodatkowo zapewniamy różne poziomy cenowe certyfikatów używanych na platformach chmurowych HSM, w zależności od maksymalnej rocznej liczby operacji podpisywania. Szczegółowe informacje o cenach można znaleźć w naszym Poziomy cenowe Cloud HSM przewodnik. Atesty można wykonać za pomocą BYOA (Bring Your Own Auditor), gdy właściciel modułu HSM zdecyduje się na poświadczenie generowania klucza bez usług SSL.com. Metodę tę można zastosować w przypadku każdej ceremonii generowania klucza (KGC) zgodnego modułu HSM, nawet takiego, który nie jest objęty atestem SSL.com. BYOA wymaga skrupulatnego przygotowania, aby uniknąć ryzyka odrzucenia klucza. Takie kwestie wiążą się z koniecznością powtórzenia ceremonii, co wiąże się z dodatkowymi kosztami i opóźnieniami. Aby zapobiec tym problemom, specjaliści ds. obsługi klienta i walidacji SSL.com proaktywnie prowadzą klientów przed KGC.Zamów certyfikat podpisania kodu
Wszystkie certyfikaty do podpisywania kodu SSL.com można kupić na okres od 1 do 3 lat ze zniżkami w przypadku dłuższych okresów, a także z wygodą polegającą na konieczności jednorazowego przejścia procesu weryfikacji w przypadku certyfikatów o dłuższym okresie obowiązywania. W poniższym linkowanym artykule szczegółowo opisano, jak zamówić certyfikat do podpisywania kodu i poruszać się po tych opcjach: Proces zamawiania certyfikatów do podpisywania kodu i dokumentów. W przypadku niestandardowych rozwiązań, dużych rabatów, zewnętrznych opcji HSM, oficjalnych ofert lub innych wskazówek prosimy o kontakt sprzedaż@ssl.com.Przejdź proces weryfikacji, aby uzyskać certyfikat
Oprócz wygenerowania pary kluczy, CSRi oświadczenie zaświadczające, SSL.com wymaga określonych dokumentów i informacji rejestracyjnych, zanim będzie można uzyskać certyfikat podpisywania kodu. Poniższy artykuł zawiera szczegółowe informacje na temat procesu weryfikacji: Proces walidacji certyfikatów podpisywania dokumentów, podpisywania kodu i podpisywania kodu EV.Certyfikaty podpisywania kodu EV SSL.com cieszą się zaufaniem na całym świecie w zakresie cyfrowego podpisywania kodu oprogramowania z bezpiecznymi podpisami cyfrowymi.