Implementera kodsignering med Google Cloud HSM

Certifikatmyndigheter som SSL.com har nyligen höjt nyckellagringsstandarderna för kodsigneringscertifikat och kräver nu lagring av certifikatets privata nyckel antingen på en fysisk USB-token eller på en kompatibel hårdvarusäkerhetsmodul (HSM).  Från och med den 1 juni 2023 har alla SSL.com-kodsigneringscertifikat upphört att utfärdas som nedladdningsbara pfx-filer. Denna ändring är i enlighet med certifikatutfärdarens/webbläsarforumet (CA/B). nya nyckellagringskrav för att öka säkerheten för kodsigneringsnycklar. Den tidigare regeln gjorde det möjligt för organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat att utfärdas som nedladdningsbara filer. Eftersom de nya kraven endast tillåter användning av krypterade USB-tokens eller molnbaserade FIPS-kompatibla hårdvaruapparater för att lagra certifikatet och den privata nyckeln, förväntas det att fall av kodsigneringsnycklar som stulits och missbrukas av illvilliga aktörer kommer att minska avsevärt. Även om användningen av USB-tokens innebär utmaningar när det gäller att integrera med moderna CI/CD-pipelines och att hantera en fysisk HSM på kontoret kan vara besvärlig, finns det ett effektivt alternativ. Google Cloud erbjuder en praktisk lösning: att hyra en enda nyckelfack på deras HSM-tjänst. Detta tillvägagångssätt är inte bara kostnadseffektivt utan överensstämmer också med de senaste FIPS 140-2 Level 2-standarderna, samtidigt som behovet av fysisk enhetshantering elimineras. Den här artikeln guidar dig genom installationsprocessen för denna medelvägslösning.

SSL.com:s EV Code Signing-certifikat är betrodda över hela världen för att digitalt signera programvarukod med säkra digitala signaturer. 

KÖP DITT CERTIFIKAT FÖR SSL.COM EV CODE SIGNERING

 

Förstå kodsigneringsprocessen med en molnbaserad HSM

För att förstå kärnan i kodsigneringsproceduren som använder en molnbaserad hårdvarusäkerhetsmodul (HSM), är det användbart att undersöka komponenterna:
  • Kodsigneringscertifikat: Ett digitalt certifikat utfärdat av en betrodd certifikatutfärdare (CA) som mjukvaruutvecklare använder för att digitalt signera sin programvara, skript och körbara filer. Detta certifikat fungerar som en digital signatur som verifierar identiteten för utvecklaren eller utgivaren och säkerställer att koden inte har ändrats eller äventyrats sedan den ursprungligen signerades. 
  • Google Cloud: Erbjuder tjänster som stöder säker programvaruutveckling och distribution, inklusive infrastruktur för säker generering och hantering av kryptografiska nycklar som används i kodsigneringsprocessen.
  • Google Cloud HSM för nyckelskydd: En robust maskinvarusäkerhetsmodul inrymd i Google Clouds infrastruktur, dedikerad till att skydda din privata nyckel mot obehörig åtkomst.
  • Signeringsverktyg: Ett program eller ett verktyg utformat för att digitalt signera program och applikationer. Denna digitala signatur försäkrar slutanvändaren att programvaran inte har ändrats eller äventyrats sedan den signerades av utvecklaren eller utgivaren.
  • Time Stamping Authority (TSA): en pålitlig tredjepartstjänst, vanligtvis hanterad av din certifikatutfärdare (CA), som har till uppgift att bevisa att koden signerades under giltighetsperioden för det digitala certifikatet som används för signering, även om certifikatet senare löper ut eller återkallas.

Registrera ett Google Cloud-konto

Det första steget i att konfigurera din installation involverar att skapa ett konto med Google Cloud Platform. När ditt konto är aktivt är det nödvändigt att skapa ett nytt projekt och aktivera fakturering. Att tillhandahålla din betalningsinformation är nödvändigt för att kunna fortsätta med installationen.

Skapa ditt nyckelpar, CSR, och intygsförklaring

Innan du utfärdar kodsignering eller Adobe-betrodda dokumentsigneringscertifikat, kräver SSL.com bekräftelse på att kundens privata signeringsnyckel genererades på och finns säkert i en enhet som är certifierad av FIPS 140-2 nivå 2 (eller högre). Den här enheten säkerställer att nyckeln inte kan extraheras, och verifiering av detta skydd kallas för attestering. Googles Cloud HSM, som använder Marvell (tidigare Cavium)-tillverkade enheter, kan generera signerade attestationsutlåtanden för kryptografiska nycklar. SSL.com kan validera dessa uttalanden innan dokumentsignering eller kodsigneringscertifikat utfärdas. För vägledning om hur du genererar ditt nyckelpar och intygsutlåtande, läs Googles Cloud Key Management-dokumentation: När du har ditt nyckelpar, CSR, och ett intygsutlåtande redo, skicka in dem till SSL.com för verifiering och certifikatutfärdande. De verktyg med öppen källkod av GitHub-användare Skärsten för att skapa en CSR och att signera den med en privat nyckel från Google Cloud HSM kan vara särskilt användbart. SSL.com tar ut en avgift på $500.00 USD för Google Cloud HSM-intyg. Dessutom tillhandahåller vi olika prisnivåer för certifikat som används på moln HSM-plattformar, beroende på den årliga maximala signeringsverksamheten. För detaljerad prisinformation, se vår Prissättningsnivåer för moln HSM guide. Intyg kan utföras med hjälp av BYOA (Bring Your Own Auditor) metod när en HSM-ägare väljer att skapa nyckelgenerering utan SSL.coms tjänster. Denna metod är tillämplig för alla Key Generation Ceremony (KGC) av en kompatibel HSM, även de som inte omfattas av SSL.coms intyg. BYOA kräver noggrann förberedelse för att undvika risken för nyckelavvisning. Sådana frågor kräver att ceremonin upprepas, vilket medför extra kostnader och förseningar. För att förhindra dessa problem vägleder SSL.coms kundsupport- och valideringsspecialister proaktivt kunderna inför KGC.

Beställ ditt kodsigneringscertifikat

Alla SSL.com-kodsigneringscertifikat kan köpas med 1-3 års löptid med rabatter för längre varaktigheter samt bekvämligheten av att bara behöva genomgå en valideringsprocess en gång för certifikat med längre varaktighet.     Följande länkade artikel beskriver hur du beställer ett kodsigneringscertifikat och navigerar i dessa alternativ: Beställningsprocess för kod- och dokumentsigneringscertifikat För skräddarsydda lösningar, högvolymrabatter, externa HSM-alternativ, officiella offerter eller för annan vägledning vänligen kontakta sales@ssl.com.

Genomgå prövningsprocessen för att få ditt certifikat

Förutom att generera ditt nyckelpar, CSR, och intygsförklaring kräver SSL.com särskilda dokument och registreringsinformation innan du kan erhålla ett kodsigneringscertifikat. Följande länkade artikel beskriver granskningsprocessen:  Valideringsprocess för dokumentsignering, kodsignering och EV-kodsigneringscertifikat.

SSL.com:s EV Code Signing-certifikat är betrodda över hela världen för att digitalt signera programvarukod med säkra digitala signaturer. 

KÖP DITT CERTIFIKAT FÖR SSL.COM EV CODE SIGNERING

 

Relaterade artiklar

Twitter
Facebook
LinkedIn
reddit
E-postadress

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.