Сертификаты подписи кода, параметры облачной подписи и интеграция операций подписи

Что такое сертификат подписи кода?

Сертификат подписи кода — это цифровой сертификат, который обеспечивает всемирно признанное подтверждение личности издателя программного обеспечения и может быть получен в авторитетном центре сертификации (ЦС), таком как SSL.com. Компании-разработчики программного обеспечения используют сертификаты для подписи кода, чтобы подтвердить, что они являются разработчиками приложения. 

Сертификаты подписи кода также предотвращают подделку кода и гарантируют, что в файле не будет несанкционированных модификаций, вредоносного ПО и его можно будет безопасно установить. Сертификаты подписи кода являются важной функцией безопасности, когда программное обеспечение распространяется, продается и загружается в Интернете.  Цифровая подпись вашего кода с доверенными сертификатами SSL.com позволяет пользователям и операционным системам знать, что ваше программное обеспечение является подлинным и безопасным для установки. Вы всегда можете связаться с нашим Отдел продаж чтобы объяснить эти варианты и предоставить цитату.

Выбор правильного сертификата подписи кода

Сертификаты с проверкой организации (OV) и индивидуальной проверкой (IV) называются сертификатами высокой надежности, поскольку они требуют дополнительной проверки и, следовательно, обеспечивают большее доверие. Для сертификатов OV и IV центр сертификации проверит реальную организацию или физическое лицо, которое пытается получить сертификат. Имя организации или физического лица также указано в сертификате, что дает дополнительную уверенность в том, что владелец сертификата пользуется хорошей репутацией. Сертификаты OV часто используются корпорациями, правительствами и другими организациями, которые хотят обеспечить дополнительный уровень доверия для своих посетителей. Помимо SSL/TLS сертификаты, OV и IV также обычно используются для подпись кода, подписание документа, аутентификация клиентакачества S/MIME электронные сертификаты. Дополнительную информацию о требованиях см. на веб-сайте SSL.com. Требования OV и IV. Сертификат подписи кода индивидуальной проверки (IV) применяет цифровые подписи с личным именем, что идеально подходит для независимых разработчиков программного обеспечения и отдельных участников проектов, которые хотят повысить уверенность и доверие со стороны своих пользователей.  Сертификаты EV, также известные как корпоративные сертификаты подписи кода, обеспечивают максимальное доверие посетителей, а также требуют от центра сертификации больших усилий для проверки. Сертификаты EV могут быть выданы только предприятиям и другим зарегистрированным организациям, но не физическим лицам. SSL.com Sole Proprietorship Сертификаты подписи кода EV добавляют личность к стандартному сертификату подписи кода EV. Эта опция проверки позволяет индивидуальному предпринимателю или отдельному участнику включать свое имя в цифровую подпись. Вариант проверки Sole Proprietorship также предназначен для предприятий, которым требуется дополнительный уровень безопасности за счет включения подтвержденной личности в цифровую подпись. Чтобы узнать больше об особенностях этих сертификатов, вы можете прочитать нашу статью,  Какой сертификат подписи кода мне нужен? EV или OV? Ниже перечислены определяющие характеристики сертификатов подписи кода OV и EV.

Сертификат подписи кода IV:

• Применяет цифровые подписи с личным именем
• Идеально подходит для независимых разработчиков программного обеспечения и индивидуальных участников проектов

Сертификат подписи кода OV:

• Подтверждает вашу личность как издателя программного обеспечения
• Защищает ваше программное обеспечение от несанкционированного доступа и заражения вредоносным ПО

Сертификат подписи кода EV:

• Возможность подписывать драйверы как до Windows 10, так и для Windows 10.
• Мгновенная репутация Microsoft SmartScreen
• Неограниченный срок действия подписи и штампа времени
•  Возможность подписаться в облаке с помощью eSigner
• Сертификаты подписи кода EV для индивидуальных предпринимателей добавляют личность к стандартному сертификату подписи кода EV.

Настройка и использование вашей учетной записи SSL.com

Если вы еще этого не сделали, начните с создание учетной записи на SSL.com. Ваша учетная запись позволяет создавать несколько команд, а также приглашать нескольких пользователей с определенными ролями и правами.

Процесс проверки

Чтобы проверить и выдать сертификат OV или IV, SSL.com должен подтвердить вашу личность, физический адрес и номер телефона с помощью поддающихся проверке онлайн-ресурсов и/или действительных подтверждающих документов. Для получения более подробной информации о требованиях вы можете прочитать Каковы требования к сертификатам SSL.com OV и IV?  Кроме того, для заказов сертификата подписи кода IV заявители должны будут предоставить изображение удостоверения личности спереди и сзади, а также изображение, на котором они держат удостоверение личности рядом с лицом. В соответствии с рекомендациями, установленными CA/Browser Forum, для выдачи сертификата EV необходимо предоставить дополнительную документацию. Направляйтесь к Часто задаваемые вопросы: процесс расширенной проверки (EV) знать все требования к сертификатам EV. Для организаций, запрашивающих Сертификаты подписи кода EV, SSL.com проведет проверку как через надежные онлайн-ресурсы, так и/или действительные документы, а также дополнительную документацию в соответствии с рекомендациями, установленными CA/Browser Forum.  

Новые требования к хранилищу ключей для сертификатов подписи кода OV и IV

С 1 июня 2023 г. SSL.com Сертификаты подписи кода проверки организации (OV) и проверки личности (IV) будут выдаваться либо на USB-токенах Федерального стандарта обработки информации 140-2 (FIPS 140-2), либо через нашу облачную службу подписи кода eSigner. Это изменение соответствует новым требованиям форума центра сертификации/браузера (CA/B) к хранилищу ключей для повышения безопасности ключей подписи кода. Предыдущее правило позволяло выпускать сертификаты подписи кода OV и IV в виде загружаемых файлов из Интернета. Поскольку новые требования позволяют использовать только зашифрованные USB-токены или облачные аппаратные устройства, совместимые с FIPS, для хранения сертификата и закрытого ключа, ожидается, что случаи кражи и неправомерного использования ключей подписи кода злоумышленниками будут значительно сокращены. Нажмите эту ссылку чтобы узнать больше о SSL.com Облачное решение для подписи кода eSigner.

Хранение ключей и методы подписи для сертификатов подписи кода с расширенной проверкой 

USB-токен

Наиболее распространенным подходом к подписи кода EV является использование аппаратного модуля безопасности (HSM), такого как USB-токен, который хранит сертификат подписи кода EV и действует как ключ в программном коде подписи. По сравнению с хранением сертификата на локальном компьютере USB-токен имеет хорошие показатели безопасности и портативности. Однако одним из ограничений является то, что покупка нескольких токенов и управление ими может быть довольно дорогим, и они не такие гибкие по сравнению с облачными вариантами.  SSL.com обеспечивает безопасное хранение закрытых ключей и физическую безопасность 2FA с помощью USB-токена Yubikey FIPS. Это USB-устройство обеспечивает дополнительную защиту вашего программного обеспечения от несанкционированного доступа, поскольку только те лица, которые фактически владеют им, могут ставить цифровую подпись кода для ваших приложений или программ.

Облако HSM

Второй вариант подписи кода EV — использование сетевого HSM в облаке для размещения сертификатов и ключей подписи кода. Этот метод обеспечивает сравнимый уровень безопасности с USB-токеном, поскольку закрытые ключи также нельзя экспортировать. Поскольку подписание кода осуществляется через облако, достигается масштабируемое сотрудничество между разработчиками. Однако следует отметить, что для этого метода может потребоваться опыт работы с конкретным поставщиком облачных услуг. Для выдачи сертификатов подписи кода EV SSL.com поддерживает три облачных HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM и Google Cloud HSM. Чтобы получить более подробную информацию о каждом из них, вы можете прочитать нашу справочную статью: Поддерживаемые облачные HSM для подписи документов и подписи кода EV.

• Чтобы узнать, как использовать свою учетную запись HSM и нанять профессионала для аттестации Cloud HSM, вы можете прочитать нашу статью. Принесите свою собственную аттестацию Auditor Cloud HSM.
• SSL.com в настоящее время разрабатывает и тестирует процедуры аттестации для широкого спектра платформ HSM. Вы можете заполнить это форма запроса чтобы узнать, тестируем ли мы платформу HSM, не указанную выше.

eSigner: подпись кода как услуга

В-третьих, современный и очень удобный подход к подписи кода EV — это работа с подписью кода как с услугой. Примером этого метода является облачная служба подписи кода eSigner от SSL.com.  С помощью eSigner SSL.com обрабатывает как инфраструктуру открытых ключей (PKI) и HSM для подписи кода. Неэкспортируемые ключи подписи хранятся в HSM eSigner, где ни клиент, ни SSL.com не могут их просмотреть. Таким образом, стандарт безопасности такой же высокий, как у токенов и облачных HSM, но клиенту не нужно иметь дело с ними напрямую. Среда eSigner включает ряд вариантов подписи для удовлетворения потребностей самых разных клиентов, от отдельных разработчиков до сложных организаций.

Параметры подписи eSigner

• Благодаря службе eSigner от SSL.com вы можете использовать свой сертификат подписи кода расширенной проверки SSL.com для подписи кода с любого устройства, подключенного к Интернету, без какого-либо дополнительного оборудования. После регистрации заказа на сертификат для подписи кода EV в eSigner вы можете подписывать код с помощью Веб-приложение eSigner Express, eSigner CodeSignTool или через CSC-совместимый SSL.com API подписи кода. 

Типы файлов, поддерживаемые eSigner

• Вы можете прочитать наше руководство, Типы файлов, поддерживаемые eSigner, чтобы узнать, какие типы файлов поддерживаются eSigner Express и eSigner API.

Начало работы с сертификатом подписи кода:

После получения нового сертификата подписи кода у вас могут возникнуть вопросы о том, как его использовать и с какими приложениями его можно интегрировать. Приведенные ниже руководства содержат ответы на распространенные вопросы о том, как начать работу с новым сертификатом.

• Как купить сертификаты подписи кода и подписи кода EV на SSL.com
• Как установить сертификат подписи кода SSL.com OV в Windows 10
• FAQ: Начало работы с сертификатом подписи кода EV
• Зарегистрируйтесь в программе Windows Hardware Developer Program, чтобы подписывать драйверы с помощью подписи кода EV.
• Как использовать Сертификат подписи кода OV или EV с Microsoft SignTool и SSL.com SSL Manager

Начало работы с подписью кода eSigner Cloud

• Сервисные возможности eSigner
• Зарегистрируйтесь в eSigner
• Выбор подписной подписки
  • Цены eSigner на подпись кода
  • Цены eSigner на подписание документов
  • Как изменить уровень eSigner

Ниже приведены ресурсы, которые могут предоставить вам дополнительную информацию о том, как использовать интерфейс eSigner и настроить его для командных задач.

• Часто задаваемые вопросы о eSigner
• Как просмотреть и сбросить QR-код eSigner или сбросить PIN-код
• Совместное использование документов eSigner и сертификатов подписи кода EV

Использование ваших ключей Yubikey

Такие сертификаты, как EV Code Signing, заказанные на SSL.com, могут быть предварительно установлены в аппаратном модуле безопасности (HSM), таком как USB-токен ключа безопасности с проверкой FIPS 140-2. Если ваш сертификат еще не прошел проверку, вы можете указать необходимое количество токенов при заказе и до завершения процесса проверки. Если ваш сертификат уже выпущен, у вас все еще есть возможность заказать дополнительные токены. Чтобы узнать, как добавить Yubikeys в сертификат подписи кода EV, щелкните это руководство: Как добавить YubiKeys в ваш заказ сертификата Если у вас уже есть Yubikey, вы можете обратиться к следующим руководствам о том, как с ним работать:

• Быстрые инструкции YubiKey
• Как разблокировать PIN-код YubiKey
• Как получить доступ к PIN-коду и PUK-коду Yubikey FIPS
• Что делать, если мой токен для подписи кода EV пуст?
• Как установить корневой и промежуточный сертификаты SSL.com на YubiKey
• Как провести генерацию ключей и аттестацию с помощью Yubikey

Автоматизация и интеграция

eSigner CKA (адаптер облачного ключа)

•  eSigner CKA (адаптер облачного ключа) — это приложение на базе Windows, использующее интерфейс CNG (поставщик службы ключей KSP), позволяющий таким инструментам, как certutil.exe и signtool.exe, использовать eSigner CSC для автоматизированных операций подписи кода. eSigner CKA действует как виртуальный USB-токен и загружает сертификаты подписи кода в хранилище сертификатов. 

eSigner и CodeSignTool для автоматической подписи кода EV

• CodeSignTool идеально подходит для автоматизированных пакетных процессов подписи больших объемов или интеграции в существующие рабочие процессы конвейера CI/CD.
• Прочитайте наш информационный раздел Руководство CodeSignTool о том, как подписывать объекты кода без ручного ввода OTP для каждого файла.
• Зайдем на Руководство по командам eSigner CodeSign Tool чтобы узнать больше о поддерживаемых командах, опциях и параметрах.

Специальные руководства по интеграции службы CI/CD

Ниже приведены конкретные руководства по автоматизации подписи кода с помощью eSigner для самых популярных платформ CI/CD.

• Интеграция подписи облачного кода с CircleCI
• Интеграция облачной подписи кода с GitHub Actions
• Интеграция облачной подписи кода с GitLab CI
• Интеграция облачной подписи кода с Travis CI
• Интеграция облачной подписи кода с Jenkins CI
• Интеграция подписи облачного кода с Azure DevOps

Узнайте больше о ценности облачной подписи кода, прочитав нашу статью: Облачная автоматизация подписи кода с помощью CI/CD Services.

Тестирование подписи кода EV в песочнице

SSL.com поддерживает отдельную «песочницу» для нашей облачной службы подписи eSigner, чтобы пользователи могли экспериментировать с различными приложениями, утилитами и API, прежде чем приступить к работе в реальном времени. Подпись кода EV сертификаты.

• Направляйтесь к нашему статья с практическими рекомендациями который включает демонстрационные учетные данные eSigner, QR-коды и информацию о конфигурации, чтобы облегчить экспериментальное использование Песочница eSigner Express, CodeSignToolкачества CSC, Подписание кода.
• Полное руководство по настройке учетной записи песочницы, созданию тестового заказа и использованию песочницы с SWS API SSL.com можно найти в нашей статье: Использование песочницы SSL.com для тестирования и интеграции.

Руководства по конкретным средам

Сертификаты подписи кода EV SSL.com можно использовать в различных средах подписи кода. Обратитесь к статьям ниже для конкретных руководств: 

• Подписание кода Java с помощью сертификата подписи кода OV/IV или EV
• Подписание драйверов режима ядра для Windows с использованием сертификатов подписи кода EV или OV
• FAQ: сертификаты подписи кода в режиме ядра
• Использование Jsign из командной строки Linux для подписи кода OV/IV и подписи кода EV
• Подписание кода с помощью Azure DevOps с использованием сертификата, хранящегося в Azure Key Vault.

Помимо указанных выше, существует больше сред, с которыми совместимы сертификаты подписи кода SSL.com. Контакт support@ssl.com или используйте чат веб-сайта для вопросов о других средах.

Свяжитесь с отделом продаж или обратитесь в службу поддержки

Если вам нужен кто-то, кто проведет вас через все наши варианты подписи кода, обсудит индивидуальные интеграции, крупные сделки, предложения или другие индивидуальные решения, вы всегда можете связаться с нашими отделами продаж или поддержки.

Отправить запрос