Kodsigneringscertifikat, molnsigneringsalternativ och signeringsverksamhetsintegration

Vad är ett kodsigneringscertifikat?

Ett kodsigneringscertifikat är ett digitalt certifikat som ger ett globalt accepterat bevis på en programutgivares identitet och som kan erhållas från en ansedd certifikatutfärdare (CA) som SSL.com. Programvaruföretag använder kodsigneringscertifikat för att bevisa att de är utvecklare av en applikation. 

Kodsigneringscertifikat förhindrar också manipulering av kod och säkerställer att en fil är fri från obehöriga ändringar, skadlig programvara och är säker att installera. Certifikat för kodsignering är en viktig säkerhetsfunktion när programvara distribueras, säljs och laddas ner online.  Signera din kod digitalt med pålitliga SSL.com-certifikat låter användare och operativsystem veta att din programvara är äkta och säker att installera. Du kan alltid kontakta oss säljteam för att förklara dessa alternativ och ge en offert.
Behöver du ett kodsigneringscertifikat? SSL.com har alternativ för att tillgodose dina behov, läs mer om våra certifikat.

Att välja rätt kodsigneringscertifikat

Organisation Validation (OV) och Individual Validation (IV) certifikat kallas High Assurance-certifikat eftersom de kräver mer validering och därmed ger mer förtroende, . För OV- och IV-certifikat kommer CA att verifiera den faktiska organisationen eller den enskilda personen som försöker få certifikatet. Organisationens eller individens namn anges också i certifikatet, vilket ger ökat förtroende för att certifikatinnehavaren är ansedd. OV-certifikat används ofta av företag, regeringar och andra enheter som vill ge sina besökare ett extra lager av förtroende. Förutom SSL/TLS certifikat, OV och IV används ofta för kodsignering, dokumentsignering, klientautentiseringoch S/MIME e-postcertifikat. För mer information om krav, se SSL.com's OV- och IV-krav. Individual Validation (IV) Code Signing Certificate tillämpar digitala signaturer med ett personligt namn, perfekt för oberoende mjukvaruutvecklare och enskilda projektbidragsgivare som vill öka förtroendet och förtroendet från sina användare.  EV-certifikat, även kända som certifikat för signering av företagskoder, ger maximalt förtroende för besökare och kräver också den största ansträngningen av CA för att validera. EV-certifikat får endast utfärdas till företag och andra registrerade organisationer, inte till privatpersoner. SSL.com Enmansföretag EV-kodsigneringscertifikat lägger till en individs identitet till standardcertifikatet för EV-kodsignering. Detta valideringsalternativ gör det möjligt för en enskild firma eller enskild bidragsgivare att inkludera sitt namn i den digitala signaturen. Validering av enskild firma är också för företag som kräver ett extra lager av säkerhet genom att inkludera en individs validerade identitet i den digitala signaturen. För att veta mer om funktionerna i dessa certifikat kan du läsa vår artikel,  Vilket kodsigneringscertifikat behöver jag? EV eller OV? Med en snabb överblick listas de definierande funktionerna för OV- och EV-kodsigneringscertifikat nedan.

IV-kodsigneringscertifikat:

  • Tillämpar digitala signaturer med personnamn
  • Perfekt för oberoende mjukvaruutvecklare och enskilda projektbidragsgivare

OV-kodsigneringscertifikat:

  • Verifierar din identitet som programvaruutgivare
  • Skyddar din programvara från manipulering och skadlig programvara

EV-kodsigneringsintyg:

  • Möjlighet att signera både pre-Windows 10 och Windows 10-drivrutiner
  • Omedelbar Microsoft SmartScreen-rykte
  • Ej utgången av signatur och tidsstämpling
  •  Möjlighet att logga på molnet med eSigner
  • Enskild firma EV Code Signing Certifikat lägger till en individs identitet till standard EV Code Signing Certificate

Konfigurera och använda ditt SSL.com-konto

Om du inte redan har gjort det, börja med skapa ett konto på SSL.com. Ditt konto har förmågan att skapa flera team samt bjuda in flera användare med specifika roller och rättigheter.

Valideringsprocessen

För att validera och utfärda ett OV- eller IV-certifikat måste SSL.com verifiera din identitet, fysiska adress och telefonnummer via verifierbara onlineresurser och/eller giltiga verifieringsdokument. För ytterligare information om kraven kan du läsa Vilka är kraven för SSL.com OV- och IV-certifikat?  Dessutom för beställningar av IV-kodsigneringscertifikat måste sökande skicka in en bild på fram- och baksidan av ett ID plus en bild på dem som håller ID:t bredvid sitt ansikte. Enligt riktlinjer som fastställts av CA/Browser Forum måste extra dokumentation tillhandahållas för att utfärda ett EV-certifikat. Gå över till FAQ: Process för utökad validering (EV) att känna till alla krav för EV-certifikat. För enheter som begär EV Code Signing-certifikat kommer SSL.com att utföra validering både genom pålitliga onlineresurser och/eller giltiga dokument samt extra dokumentation enligt riktlinjer som fastställts av CA/Browser Forum.  

Nya nyckellagringskrav för OV- och IV-kodsigneringscertifikat

Från och med den 1 juni 2023, SSL.com Organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat kommer endast att utfärdas antingen på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller genom vår eSigner molnkodsigneringstjänst. Denna ändring är i enlighet med certifikatutfärdaren/webbläsarforumets nya krav för nyckellagring för att öka säkerheten för kodsigneringsnycklar. Den tidigare regeln tillät att OV- och IV-kodsigneringscertifikat utfärdades som nedladdningsbara filer från internet. Eftersom de nya kraven endast tillåter användning av krypterade USB-tokens eller molnbaserade FIPS-kompatibla hårdvaruapparater för att lagra certifikatet och den privata nyckeln, förväntas det att fall av kodsigneringsnycklar som stulits och missbrukas av illvilliga aktörer kommer att minska avsevärt. Klick denna länk att lära sig mer om SSL.com eSigner molnkodsigneringslösning.

Nyckellagring och signeringsmetoder för förlängda valideringskodsigneringscertifikat 

USB-token

SSL.com skickar kodsigneringscertifikat som är förinstallerade på Yubikey FIPS-tokens och Thales SafeNet (Gemalto) USB-tokens.

Thales SafeNet-tokens är utrustade för att hantera RSA-nycklar upp till 3072 bitar, avgörande för kärnlägessignering och en förutsättning i vissa mjukvaruutvecklingsmiljöer såsom drivrutinssignering för Microsoft-system.

Genom en procedur som kallas fjärrbekräftelse kan kunder på SSL.com, oavsett var de befinner sig, skapa ett nyckelpar direkt på sin YubiKey, tillsammans med ett attestationscertifikat som verifierar den privata nyckelns generering på enheten. Attestationscertifikatet kan sedan användas för att förnya ett utgånget certifikat som finns i Yubikey. Stöd för fjärrbekräftelse är en funktion som för närvarande inte är tillgänglig för Thales token-kunder. För en mer detaljerad jämförelse mellan funktionerna hos Yubikeys och Thales SafeNet-tokens, se denna SSL.com-artikel: Yubikey FIPS-tokens vs Thales/Gemalto USB-tokens.  

Både Yubikey och Thales SafeNet-tokens är designade för att öka säkerheten utan att väsentligt kompromissa med användarupplevelsen. Valet mellan dem bör styras av organisationens säkerhetsinställning och operativa behov. Men som fysiska enheter kan de förloras eller stjälas, vilket innebär betydande säkerhetsrisker och potentiellt medför höga ersättningskostnader. I en modern miljö på distans kan logistiken för att distribuera och underhålla dessa hårdvarutokens utgöra betydande utmaningar för IT-team, vilket kräver betydande utgifter och arbetskraft. Dessutom erbjuder dessa tokens inte samma bekvämlighetsnivå som molnbaserade lösningar, särskilt för utvecklare som arbetar inom en CI/CD-pipeline.

Moln HSM

Ett andra alternativ för EV-kodsignering är att använda en nätverksansluten HSM i molnet för att vara värd för kodsigneringscertifikat och nycklar. Denna metod erbjuder en jämförbar säkerhetsnivå som ett USB-token eftersom de privata nycklarna inte heller går att exportera. Eftersom kodsignering utförs genom molnet, är ett skalbart samarbeteong utvecklare uppnås. Det bör dock noteras att denna metod kan kräva expertis hos den specifika molntjänstleverantören. För utfärdande av EV-kodsigneringscertifikat stöder SSL.com tre Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM och Google Cloud HSM. För att få mer information om var och en kan du läsa vår guideartikel: Stödda moln HSM för dokumentsignering och EV-kodsignering.
  • För att veta hur du kan använda ditt HSM-konto och anlita en professionell för Cloud HSM Attestation kan du läsa vår artikel Ta med din egen Auditor Cloud HSM-intyg.
  • SSL.com utvecklar och testar för närvarande attesteringsprocedurer för ett brett utbud av HSM-plattformar. Du kan fylla i detta frågeformulär för att ta reda på om vi testar en HSM-plattform som inte var listad ovan.

eSigner: Kodsignering som en tjänst

För det tredje, ett modernt och mycket bekvämt tillvägagångssätt för EV Code Signing handlar om kodsignering som en tjänst. SSL.coms eSigner molnkodsigneringstjänst är ett exempel på denna metod.  Med eSigner hanterar SSL.com både infrastrukturen för allmän nyckel (PKI) och HSM för kodsignering. De icke-exporterbara signeringsnycklarna lagras i eSigners HSM, där varken kunden eller SSL.com kan se dem. På det här sättet är säkerhetsstandarden lika hög som med tokens och HSM-moln, men det finns inget behov av klienten att hantera dem direkt. ESigner-miljön innehåller ett antal signeringsalternativ för att tillgodose behoven hos en mängd olika kunder, från enskilda utvecklare till komplexa organisationer.

Signeringsalternativ för eSigner

  • Med SSL.coms eSigner-tjänst kan du använda ditt SSL.com Extended Validation Code Signing Certificate för att signera kod från vilken internetansluten enhet som helst utan ytterligare hårdvara. Efter att ha registrerat din EV Code Signing-certifikatorder i eSigner kan du signera koden med antingen eSigner Express webbapp, eSigner CodeSignTool eller genom SSL.coms CSC-kompatibla kodsignerings-API

Filtyper som stöds av eSigner

Komma igång med ditt kodsigneringscertifikat:

När du har fått ditt nya kodsigneringscertifikat kan du ha frågor om hur du använder det och vilka applikationer det kan integreras med. De länkade guiderna nedan svarar på vanliga frågor du kan ha om hur du kommer igång med ditt nya certifikat.

Komma igång med eSigner Cloud Code Signing

Nedan finns resurser som kan ge dig mer information om hur du använder eSigners gränssnitt och ställer in det för teamorienterade uppgifter.

Använda dina Yubikeys

Certifikat som EV Code Signing beställda från SSL.com kommer med möjligheten att komma förinstallerade i en Hardware Security Module (HSM) som en FIPS 140-2 validerad säkerhetsnyckel USB-token. Om ditt certifikat ännu inte har validerats kan du inkludera antalet tokens du behöver vid beställning och innan du slutför valideringsprocessen. Om ditt certifikat redan har utfärdats har du fortfarande möjlighet att beställa ytterligare tokens. För att veta hur du lägger till Yubikeys till ditt EV Code Signing-certifikat, klicka på den här guiden: Hur man lägger till YubiKeys till din certifikatbeställning Om du redan har en Yubikey kan du hänvisa till följande guider om hur du använder den:

Automation och integration

eSigner CKA (Cloud Key Adapter)

  •  eSigner CKA (Cloud Key Adapter) är en Windows-baserad applikation som använder CNG-gränssnittet (KSP Key Service Provider) för att tillåta verktyg som certutil.exe och signtool.exe att använda eSigner CSC för automatiserade kodsigneringsoperationer. eSigner CKA fungerar som en virtuell USB-token och laddar kodsigneringscertifikaten till certifikatarkivet. 

eSigner och CodeSignTool för automatiserad EV-kodsignering

  • CodeSignTool är idealiskt för automatiserade batchprocesser för signering av stora volymer eller integration i befintliga CI/CD-pipeline-arbetsflöden.
  • Läs vår CodeSignTool guide om hur man signerar kodobjekt utan att bli tillfrågad om manuell OTP-inmatning för varje fil.
  • Chef över till Kommandoguide för eSigner CodeSign Tool för att veta mer om kommandon, alternativ och parametrar som stöds.

Specifika CI/CD Service Integration Guides

Nedan finns specifika guider om hur man automatiserar kodsignering med eSigner för de mest populära CI/CD-plattformarna. Läs mer om värdet av molnbaserad kodsignering genom att läsa vår artikel: Cloud Code Signing Automation med CI/CD-tjänster.

Testar EV-kodsignering i sandlådan

SSL.com har en separat "sandlåda"-miljö för vår eSigner molnsigneringstjänst så att användare kan experimentera med de olika apparna, verktygen och API:erna innan de arbetar med live EV-kodsignering certifikat.

Specifika miljöguider

SSL.coms EV Code Signing-certifikat kan användas i olika kodsigneringsmiljöer. Se artiklarna nedan för specifika guider:  Förutom de som anges ovan finns det fler miljöer som SSL.com-kodsigneringscertifikat är kompatibla med. Kontakt support@ssl.com eller använd webbchatten för frågor om andra miljöer.

Kontakta försäljning eller kontakta support

Om du behöver någon som guidar dig genom alla våra kodsigneringsalternativ, diskuterar anpassade integrationer, erbjudanden i stora volymer, offerter eller andra anpassade lösningar, kan du alltid kontakta våra sälj- eller supportteam.

Kontaktformulär

Twitter
Facebook
LinkedIn
reddit
E-postadress

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.