Kodsigneringscertifikat, molnsigneringsalternativ och signeringsverksamhetsintegration

Vad är ett kodsigneringscertifikat?

Ett kodsigneringscertifikat är ett digitalt certifikat som ger ett globalt accepterat bevis på en programutgivares identitet och som kan erhållas från en ansedd certifikatutfärdare (CA) som SSL.com. Programvaruföretag använder kodsigneringscertifikat för att bevisa att de är utvecklare av en applikation. 

Kodsigneringscertifikat förhindrar också manipulering av kod och säkerställer att en fil är fri från obehöriga ändringar, skadlig programvara och är säker att installera. Certifikat för kodsignering är en viktig säkerhetsfunktion när programvara distribueras, säljs och laddas ner online.  Signera din kod digitalt med pålitliga SSL.com-certifikat låter användare och operativsystem veta att din programvara är äkta och säker att installera. Du kan alltid kontakta oss säljteam för att förklara dessa alternativ och ge en offert.

Att välja rätt kodsigneringscertifikat

Organisation Validation (OV) och Individual Validation (IV) certifikat kallas High Assurance-certifikat eftersom de kräver mer validering och därmed ger mer förtroende, . För OV- och IV-certifikat kommer CA att verifiera den faktiska organisationen eller den enskilda personen som försöker få certifikatet. Organisationens eller individens namn anges också i certifikatet, vilket ger ökat förtroende för att certifikatinnehavaren är ansedd. OV-certifikat används ofta av företag, regeringar och andra enheter som vill ge sina besökare ett extra lager av förtroende. Förutom SSL/TLS certifikat, OV och IV används ofta för kodsignering, dokumentsignering, klientautentiseringoch S/MIME e-postcertifikat. För mer information om krav, se SSL.com's OV- och IV-krav. Individual Validation (IV) Code Signing Certificate tillämpar digitala signaturer med ett personligt namn, perfekt för oberoende mjukvaruutvecklare och enskilda projektbidragsgivare som vill öka förtroendet och förtroendet från sina användare.  EV-certifikat, även kända som certifikat för signering av företagskoder, ger maximalt förtroende för besökare och kräver också den största ansträngningen av CA för att validera. EV-certifikat får endast utfärdas till företag och andra registrerade organisationer, inte till privatpersoner. SSL.com Enmansföretag EV-kodsigneringscertifikat lägger till en individs identitet till standardcertifikatet för EV-kodsignering. Detta valideringsalternativ gör det möjligt för en enskild firma eller enskild bidragsgivare att inkludera sitt namn i den digitala signaturen. Validering av enskild firma är också för företag som kräver ett extra lager av säkerhet genom att inkludera en individs validerade identitet i den digitala signaturen. För att veta mer om funktionerna i dessa certifikat kan du läsa vår artikel,  Vilket kodsigneringscertifikat behöver jag? EV eller OV? Med en snabb överblick listas de definierande funktionerna för OV- och EV-kodsigneringscertifikat nedan.

IV-kodsigneringscertifikat:

• Tillämpar digitala signaturer med personnamn
• Perfekt för oberoende mjukvaruutvecklare och enskilda projektbidragsgivare

OV-kodsigneringscertifikat:

• Verifierar din identitet som programvaruutgivare
• Skyddar din programvara från manipulering och skadlig programvara

EV-kodsigneringsintyg:

• Möjlighet att signera både pre-Windows 10 och Windows 10-drivrutiner
• Omedelbar Microsoft SmartScreen-rykte
• Ej utgången av signatur och tidsstämpling
•  Möjlighet att logga på molnet med eSigner
• Enskild firma EV Code Signing Certifikat lägger till en individs identitet till standard EV Code Signing Certificate

Konfigurera och använda ditt SSL.com-konto

Om du inte redan har gjort det, börja med skapa ett konto på SSL.com. Ditt konto har förmågan att skapa flera team samt bjuda in flera användare med specifika roller och rättigheter.

Valideringsprocessen

För att validera och utfärda ett OV- eller IV-certifikat måste SSL.com verifiera din identitet, fysiska adress och telefonnummer via verifierbara onlineresurser och/eller giltiga verifieringsdokument. För ytterligare information om kraven kan du läsa Vilka är kraven för SSL.com OV- och IV-certifikat?  Dessutom för beställningar av IV-kodsigneringscertifikat måste sökande skicka in en bild på fram- och baksidan av ett ID plus en bild på dem som håller ID:t bredvid sitt ansikte. Enligt riktlinjer som fastställts av CA/Browser Forum måste extra dokumentation tillhandahållas för att utfärda ett EV-certifikat. Gå över till FAQ: Process för utökad validering (EV) att känna till alla krav för EV-certifikat. För enheter som begär EV Code Signing Certificate, SSL.com kommer att utföra validering både genom pålitliga onlineresurser och/eller giltiga dokument samt extra dokumentation enligt riktlinjer som fastställts av CA/Browser Forum.  

Nya nyckellagringskrav för OV- och IV-kodsigneringscertifikat

Från och med den 1 juni 2023, SSL.com Organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat kommer endast att utfärdas antingen på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller genom vår eSigner molnkodsigneringstjänst. Denna ändring är i enlighet med certifikatutfärdaren/webbläsarforumets nya krav för nyckellagring för att öka säkerheten för kodsigneringsnycklar. Den tidigare regeln tillät att OV- och IV-kodsigneringscertifikat utfärdades som nedladdningsbara filer från internet. Eftersom de nya kraven endast tillåter användning av krypterade USB-tokens eller molnbaserade FIPS-kompatibla hårdvaruapparater för att lagra certifikatet och den privata nyckeln, förväntas det att fall av kodsigneringsnycklar som stulits och missbrukas av illvilliga aktörer kommer att minska avsevärt. Klick denna länk att lära sig mer om SSL.com eSigner molnkodsigneringslösning.

Nyckellagring och signeringsmetoder för förlängda valideringskodsigneringscertifikat 

USB-token

Det vanligaste tillvägagångssättet för EV-kodsignering är att använda en Hardware Security Module (HSM) som en USB-token som lagrar EV Code Signing-certifikatet och fungerar som en nyckel för att signera programvarukod. Jämfört med att lagra certifikatet på en lokal maskin, ger en USB-token bra resultat för handhållen säkerhet och portabilitet. En begränsning för det är dock att det kan vara ganska dyrt att köpa och hantera flera tokens och de är inte så flexibla jämfört med molnbaserade alternativ.  SSL.com tillhandahåller säker privat nyckellagring och fysisk 2FA-säkerhet med en Yubikey FIPS USB-token. Denna USB-enhet lägger till skydd mot manipulering av din programvara eftersom endast de personer som faktiskt har den kommer att tillåtas att digitalt signera en kod till dina applikationer eller program.

Moln HSM

Ett andra alternativ för EV-kodsignering är att använda en nätverksansluten HSM i molnet för att vara värd för kodsigneringscertifikat och nycklar. Denna metod erbjuder en jämförbar säkerhetsnivå som en USB-token eftersom de privata nycklarna inte heller går att exportera. Eftersom kodsignering utförs genom molnet, uppnås ett skalbart samarbete mellan utvecklare. Det bör dock noteras att denna metod kan kräva expertis hos den specifika molntjänstleverantören. För utfärdande av EV-kodsigneringscertifikat stöder SSL.com tre Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM och Google Cloud HSM. För att få mer information om var och en kan du läsa vår guideartikel: Stödda moln HSM för dokumentsignering och EV-kodsignering.

• För att veta hur du kan använda ditt HSM-konto och anlita en professionell för Cloud HSM Attestation kan du läsa vår artikel Ta med din egen Auditor Cloud HSM-intyg.
• SSL.com utvecklar och testar för närvarande attesteringsprocedurer för ett brett utbud av HSM-plattformar. Du kan fylla i detta frågeformulär för att ta reda på om vi testar en HSM-plattform som inte var listad ovan.

eSigner: Kodsignering som en tjänst

För det tredje, ett modernt och mycket bekvämt tillvägagångssätt för EV Code Signing handlar om kodsignering som en tjänst. SSL.coms eSigner molnkodsigneringstjänst är ett exempel på denna metod.  Med eSigner hanterar SSL.com både infrastrukturen för allmän nyckel (PKI) och HSM för kodsignering. De icke-exporterbara signeringsnycklarna lagras i eSigners HSM, där varken kunden eller SSL.com kan se dem. På det här sättet är säkerhetsstandarden lika hög som med tokens och HSM-moln, men det finns inget behov av klienten att hantera dem direkt. ESigner-miljön innehåller ett antal signeringsalternativ för att tillgodose behoven hos en mängd olika kunder, från enskilda utvecklare till komplexa organisationer.

Signeringsalternativ för eSigner

• Med SSL.coms eSigner-tjänst kan du använda ditt SSL.com Extended Validation Code Signing Certificate för att signera kod från vilken internetansluten enhet som helst utan ytterligare hårdvara. Efter att ha registrerat din EV Code Signing-certifikatorder i eSigner kan du signera koden med antingen eSigner Express webbapp, eSigner CodeSignTool eller genom SSL.coms CSC-kompatibla kodsignerings-API. 

Filtyper som stöds av eSigner

• Du kan läsa vår guide, Filtyper som stöds av eSigner, för att veta vilka filtyper som stöds av eSigner Express och eSigner API.

Komma igång med ditt kodsigneringscertifikat:

När du har fått ditt nya kodsigneringscertifikat kan du ha frågor om hur du använder det och vilka applikationer det kan integreras med. De länkade guiderna nedan svarar på vanliga frågor du kan ha om hur du kommer igång med ditt nya certifikat.

• Hur man köper kodsignerings- och EV-kodsigneringscertifikat från SSL.com
• Hur man installerar ett SSL.com OV-kodsigneringscertifikat på Windows 10
• FAQ: Komma igång med ditt EV-kodsigneringscertifikat
• Registrera dig med Windows Hardware Developer Program för att signera drivrutiner med EV Code Signing
• Hur använder du din OV- eller EV-kodsigneringscertifikat med Microsofts SignTool och SSL.com's SSL Manager

Komma igång med eSigner Cloud Code Signing

• Servicefunktioner för eSigner
• Anmäl dig till eSigner
• Att välja en signaturprenumeration
  • eSigner-priser för kodsignering
  • eSigner-prissättning för dokumentsignering
  • Hur man ändrar eSigner-nivå

Nedan finns resurser som kan ge dig mer information om hur du använder eSigners gränssnitt och ställer in det för teamorienterade uppgifter.

• Vanliga frågor om eSigner
• Så här visar och återställer du eSigner QR-kod eller återställer PIN
• Team Sharing för eSigner-dokument och EV-kodsigneringscertifikat

Använda dina Yubikeys

Certifikat som EV Code Signing beställda från SSL.com kommer med möjligheten att komma förinstallerade i en Hardware Security Module (HSM) som en FIPS 140-2 validerad säkerhetsnyckel USB-token. Om ditt certifikat ännu inte har validerats kan du inkludera antalet tokens du behöver vid beställning och innan du slutför valideringsprocessen. Om ditt certifikat redan har utfärdats har du fortfarande möjlighet att beställa ytterligare tokens. För att veta hur du lägger till Yubikeys till ditt EV Code Signing-certifikat, klicka på den här guiden: Hur man lägger till YubiKeys till din certifikatbeställning Om du redan har en Yubikey kan du hänvisa till följande guider om hur du använder den:

• YubiKey snabbinstruktioner
• Hur man avblockerar YubiKey PIN
• Hur du kommer åt din Yubikey FIPS PIN och PUK
• Vad händer om min EV Code Signing Token är tom?
• Hur man installerar SSL.com rot- och mellancertifikat på YubiKey
• Hur man utför nyckelgenerering och intyg med Yubikey

Automation och integration

eSigner CKA (Cloud Key Adapter)

•  eSigner CKA (Cloud Key Adapter) är en Windows-baserad applikation som använder CNG-gränssnittet (KSP Key Service Provider) för att tillåta verktyg som certutil.exe och signtool.exe att använda eSigner CSC för automatiserade kodsigneringsoperationer. eSigner CKA fungerar som en virtuell USB-token och laddar kodsigneringscertifikaten till certifikatarkivet. 

eSigner och CodeSignTool för automatiserad EV-kodsignering

• CodeSignTool är idealiskt för automatiserade batchprocesser för signering av stora volymer eller integration i befintliga CI/CD-pipeline-arbetsflöden.
• Läs vår CodeSignTool guide om hur man signerar kodobjekt utan att bli tillfrågad om manuell OTP-inmatning för varje fil.
• Chef över till Kommandoguide för eSigner CodeSign Tool för att veta mer om kommandon, alternativ och parametrar som stöds.

Specifika CI/CD Service Integration Guides

Nedan finns specifika guider om hur man automatiserar kodsignering med eSigner för de mest populära CI/CD-plattformarna.

• Cloud Code Signing-integration med CircleCI
• Cloud Code Signing-integration med GitHub Actions
• Cloud Code Signing-integration med GitLab CI
• Cloud Code Signing-integration med Travis CI
• Cloud Code Signing-integration med Jenkins CI
• Cloud Code Signing-integration med Azure DevOps

Läs mer om värdet av molnbaserad kodsignering genom att läsa vår artikel: Cloud Code Signing Automation med CI/CD-tjänster.

Testar EV-kodsignering i sandlådan

SSL.com har en separat "sandlåda"-miljö för vår eSigner molnsigneringstjänst så att användare kan experimentera med de olika apparna, verktygen och API:erna innan de arbetar med live EV-kodsignering certifikat.

• Gå över till vår artikeln hur man gör som inkluderar eSigner-demouppgifter, QR-koder och konfigurationsinformation för att underlätta experimentell användning av eSigner Express Sandlåda, CodeSign Tooloch CCS, Kodsignering.
• För en fullständig guide om hur du skapar ett sandlådekonto, skapar en testorder och använder Sandbox med SSL.com:s SWS API, kan du läsa vår guideartikel: Använda SSL.com Sandbox för testning och integration.

Specifika miljöguider

SSL.coms EV Code Signing-certifikat kan användas i olika kodsigneringsmiljöer. Se artiklarna nedan för specifika guider: 

• Signera din Java-kod med ett OV/IV- eller EV-kodsigneringscertifikat
• Signering av drivrutiner i kärnläge för Windows med EV- eller OV-kodsigneringscertifikat
• FAQ: Kernel-läge kod signeringscertifikat
• Använda Jsign från Linux-kommandoraden för OV/IV-kodsignering och EV-kodsignering
• Kodsignering med Azure DevOps, med ett certifikat lagrat i Azure Key Vault

Förutom de som anges ovan finns det fler miljöer som SSL.com-kodsigneringscertifikat är kompatibla med. Kontakt support@ssl.com eller använd webbchatten för frågor om andra miljöer.

Kontakta försäljning eller kontakta support

Om du behöver någon som guidar dig genom alla våra kodsigneringsalternativ, diskuterar anpassade integrationer, erbjudanden i stora volymer, offerter eller andra anpassade lösningar, kan du alltid kontakta våra sälj- eller supportteam.

Kontaktformulär