Vad är ett kodsigneringscertifikat?
Ett kodsigneringscertifikat är ett digitalt certifikat som ger ett globalt accepterat bevis på en programutgivares identitet och som kan erhållas från en ansedd certifikatutfärdare (CA) som SSL.com. Programvaruföretag använder kodsigneringscertifikat för att bevisa att de är utvecklare av en applikation. Kodsigneringscertifikat förhindrar också manipulering av kod och säkerställer att en fil är fri från obehöriga ändringar, skadlig programvara och är säker att installera. Certifikat för kodsignering är en viktig säkerhetsfunktion när programvara distribueras, säljs och laddas ner online. Signera din kod digitalt med pålitliga SSL.com-certifikat låter användare och operativsystem veta att din programvara är äkta och säker att installera. Du kan alltid kontakta oss säljteam för att förklara dessa alternativ och ge en offert.Behöver du ett kodsigneringscertifikat? SSL.com har alternativ för att tillgodose dina behov, läs mer om våra certifikat.
Att välja rätt kodsigneringscertifikat
Organisation Validation (OV) och Individual Validation (IV) certifikat kallas High Assurance-certifikat eftersom de kräver mer validering och därmed ger mer förtroende, . För OV- och IV-certifikat kommer CA att verifiera den faktiska organisationen eller den enskilda personen som försöker få certifikatet. Organisationens eller individens namn anges också i certifikatet, vilket ger ökat förtroende för att certifikatinnehavaren är ansedd. OV-certifikat används ofta av företag, regeringar och andra enheter som vill ge sina besökare ett extra lager av förtroende. Förutom SSL/TLS certifikat, OV och IV används ofta för kodsignering, dokumentsignering, klientautentiseringoch S/MIME e-postcertifikat. För mer information om krav, se SSL.com's OV- och IV-krav. Individual Validation (IV) Code Signing Certificate tillämpar digitala signaturer med ett personligt namn, perfekt för oberoende mjukvaruutvecklare och enskilda projektbidragsgivare som vill öka förtroendet och förtroendet från sina användare. EV-certifikat, även kända som certifikat för signering av företagskoder, ger maximalt förtroende för besökare och kräver också den största ansträngningen av CA för att validera. EV-certifikat får endast utfärdas till företag och andra registrerade organisationer, inte till privatpersoner. SSL.com Enmansföretag EV-kodsigneringscertifikat lägger till en individs identitet till standardcertifikatet för EV-kodsignering. Detta valideringsalternativ gör det möjligt för en enskild firma eller enskild bidragsgivare att inkludera sitt namn i den digitala signaturen. Validering av enskild firma är också för företag som kräver ett extra lager av säkerhet genom att inkludera en individs validerade identitet i den digitala signaturen. För att veta mer om funktionerna i dessa certifikat kan du läsa vår artikel, Vilket kodsigneringscertifikat behöver jag? EV eller OV? Med en snabb överblick listas de definierande funktionerna för OV- och EV-kodsigneringscertifikat nedan.IV-kodsigneringscertifikat:
- Tillämpar digitala signaturer med personnamn
- Perfekt för oberoende mjukvaruutvecklare och enskilda projektbidragsgivare
OV-kodsigneringscertifikat:
- Verifierar din identitet som programvaruutgivare
- Skyddar din programvara från manipulering och skadlig programvara
EV-kodsigneringsintyg:
- Möjlighet att signera både pre-Windows 10 och Windows 10-drivrutiner
- Omedelbar Microsoft SmartScreen-rykte
- Ej utgången av signatur och tidsstämpling
- Möjlighet att logga på molnet med eSigner
- Enskild firma EV Code Signing Certifikat lägger till en individs identitet till standard EV Code Signing Certificate
Konfigurera och använda ditt SSL.com-konto
Om du inte redan har gjort det, börja med skapa ett konto på SSL.com. Ditt konto har förmågan att skapa flera team samt bjuda in flera användare med specifika roller och rättigheter.Valideringsprocessen
För att validera och utfärda ett OV- eller IV-certifikat måste SSL.com verifiera din identitet, fysiska adress och telefonnummer via verifierbara onlineresurser och/eller giltiga verifieringsdokument. För ytterligare information om kraven kan du läsa Vilka är kraven för SSL.com OV- och IV-certifikat? Dessutom för beställningar av IV-kodsigneringscertifikat måste sökande skicka in en bild på fram- och baksidan av ett ID plus en bild på dem som håller ID:t bredvid sitt ansikte. Enligt riktlinjer som fastställts av CA/Browser Forum måste extra dokumentation tillhandahållas för att utfärda ett EV-certifikat. Gå över till FAQ: Process för utökad validering (EV) att känna till alla krav för EV-certifikat. För enheter som begär EV Code Signing-certifikat kommer SSL.com att utföra validering både genom pålitliga onlineresurser och/eller giltiga dokument samt extra dokumentation enligt riktlinjer som fastställts av CA/Browser Forum.Nya nyckellagringskrav för OV- och IV-kodsigneringscertifikat
Från och med den 1 juni 2023, SSL.com Organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat kommer endast att utfärdas antingen på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller genom vår eSigner molnkodsigneringstjänst. Denna ändring är i enlighet med certifikatutfärdaren/webbläsarforumets nya krav för nyckellagring för att öka säkerheten för kodsigneringsnycklar. Den tidigare regeln tillät att OV- och IV-kodsigneringscertifikat utfärdades som nedladdningsbara filer från internet. Eftersom de nya kraven endast tillåter användning av krypterade USB-tokens eller molnbaserade FIPS-kompatibla hårdvaruapparater för att lagra certifikatet och den privata nyckeln, förväntas det att fall av kodsigneringsnycklar som stulits och missbrukas av illvilliga aktörer kommer att minska avsevärt. Klick denna länk att lära sig mer om SSL.com eSigner molnkodsigneringslösning.Nyckellagring och signeringsmetoder för förlängda valideringskodsigneringscertifikat
USB-token
SSL.com skickar kodsigneringscertifikat som är förinstallerade på Yubikey FIPS-tokens och Thales SafeNet (Gemalto) USB-tokens.Thales SafeNet-tokens är utrustade för att hantera RSA-nycklar upp till 3072 bitar, avgörande för kärnlägessignering och en förutsättning i vissa mjukvaruutvecklingsmiljöer såsom drivrutinssignering för Microsoft-system.
Genom en procedur som kallas fjärrbekräftelse kan kunder på SSL.com, oavsett var de befinner sig, skapa ett nyckelpar direkt på sin YubiKey, tillsammans med ett attestationscertifikat som verifierar den privata nyckelns generering på enheten. Attestationscertifikatet kan sedan användas för att förnya ett utgånget certifikat som finns i Yubikey. Stöd för fjärrbekräftelse är en funktion som för närvarande inte är tillgänglig för Thales token-kunder. För en mer detaljerad jämförelse mellan funktionerna hos Yubikeys och Thales SafeNet-tokens, se denna SSL.com-artikel: Yubikey FIPS-tokens vs Thales/Gemalto USB-tokens.
Både Yubikey och Thales SafeNet-tokens är designade för att öka säkerheten utan att väsentligt kompromissa med användarupplevelsen. Valet mellan dem bör styras av organisationens säkerhetsinställning och operativa behov. Men som fysiska enheter kan de förloras eller stjälas, vilket innebär betydande säkerhetsrisker och potentiellt medför höga ersättningskostnader. I en modern miljö på distans kan logistiken för att distribuera och underhålla dessa hårdvarutokens utgöra betydande utmaningar för IT-team, vilket kräver betydande utgifter och arbetskraft. Dessutom erbjuder dessa tokens inte samma bekvämlighetsnivå som molnbaserade lösningar, särskilt för utvecklare som arbetar inom en CI/CD-pipeline.
Moln HSM
Ett andra alternativ för EV-kodsignering är att använda en nätverksansluten HSM i molnet för att vara värd för kodsigneringscertifikat och nycklar. Denna metod erbjuder en jämförbar säkerhetsnivå som ett USB-token eftersom de privata nycklarna inte heller går att exportera. Eftersom kodsignering utförs genom molnet, är ett skalbart samarbeteong utvecklare uppnås. Det bör dock noteras att denna metod kan kräva expertis hos den specifika molntjänstleverantören. För utfärdande av EV-kodsigneringscertifikat stöder SSL.com tre Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM och Google Cloud HSM. För att få mer information om var och en kan du läsa vår guideartikel: Stödda moln HSM för dokumentsignering och EV-kodsignering.- För att veta hur du kan använda ditt HSM-konto och anlita en professionell för Cloud HSM Attestation kan du läsa vår artikel Ta med din egen Auditor Cloud HSM-intyg.
- SSL.com utvecklar och testar för närvarande attesteringsprocedurer för ett brett utbud av HSM-plattformar. Du kan fylla i detta frågeformulär för att ta reda på om vi testar en HSM-plattform som inte var listad ovan.
eSigner: Kodsignering som en tjänst
För det tredje, ett modernt och mycket bekvämt tillvägagångssätt för EV Code Signing handlar om kodsignering som en tjänst. SSL.coms eSigner molnkodsigneringstjänst är ett exempel på denna metod. Med eSigner hanterar SSL.com både infrastrukturen för allmän nyckel (PKI) och HSM för kodsignering. De icke-exporterbara signeringsnycklarna lagras i eSigners HSM, där varken kunden eller SSL.com kan se dem. På det här sättet är säkerhetsstandarden lika hög som med tokens och HSM-moln, men det finns inget behov av klienten att hantera dem direkt. ESigner-miljön innehåller ett antal signeringsalternativ för att tillgodose behoven hos en mängd olika kunder, från enskilda utvecklare till komplexa organisationer.Signeringsalternativ för eSigner
- Med SSL.coms eSigner-tjänst kan du använda ditt SSL.com Extended Validation Code Signing Certificate för att signera kod från vilken internetansluten enhet som helst utan ytterligare hårdvara. Efter att ha registrerat din EV Code Signing-certifikatorder i eSigner kan du signera koden med antingen eSigner Express webbapp, eSigner CodeSignTool eller genom SSL.coms CSC-kompatibla kodsignerings-API.
Filtyper som stöds av eSigner
- Du kan läsa vår guide, Filtyper som stöds av eSigner, för att veta vilka filtyper som stöds av eSigner Express och eSigner API.
Komma igång med ditt kodsigneringscertifikat:
När du har fått ditt nya kodsigneringscertifikat kan du ha frågor om hur du använder det och vilka applikationer det kan integreras med. De länkade guiderna nedan svarar på vanliga frågor du kan ha om hur du kommer igång med ditt nya certifikat.- Hur man köper kodsignerings- och EV-kodsigneringscertifikat från SSL.com
- Hur man installerar ett SSL.com OV-kodsigneringscertifikat på Windows 10
- FAQ: Komma igång med ditt EV-kodsigneringscertifikat
- Registrera dig med Windows Hardware Developer Program för att signera drivrutiner med EV Code Signing
- Hur du använder ditt OV- eller EV-kodsigneringscertifikat med Microsofts SignTool och SSL.com SSL Manager
Komma igång med eSigner Cloud Code Signing
- Servicefunktioner för eSigner
- Anmäl dig till eSigner
- Att välja en signaturprenumeration
- Vanliga frågor om eSigner
- Så här visar och återställer du eSigner QR-kod eller återställer PIN
- Team Sharing för eSigner-dokument och EV-kodsigneringscertifikat
Använda dina Yubikeys
Certifikat som EV Code Signing beställda från SSL.com kommer med möjligheten att komma förinstallerade i en Hardware Security Module (HSM) som en FIPS 140-2 validerad säkerhetsnyckel USB-token. Om ditt certifikat ännu inte har validerats kan du inkludera antalet tokens du behöver vid beställning och innan du slutför valideringsprocessen. Om ditt certifikat redan har utfärdats har du fortfarande möjlighet att beställa ytterligare tokens. För att veta hur du lägger till Yubikeys till ditt EV Code Signing-certifikat, klicka på den här guiden: Hur man lägger till YubiKeys till din certifikatbeställning Om du redan har en Yubikey kan du hänvisa till följande guider om hur du använder den:- YubiKey snabbinstruktioner
- Hur man avblockerar YubiKey PIN
- Hur du kommer åt din Yubikey FIPS PIN och PUK
- Vad händer om min EV Code Signing Token är tom?
- Hur man installerar SSL.com rot- och mellancertifikat på YubiKey
- Hur man utför nyckelgenerering och intyg med Yubikey
Automation och integration
eSigner CKA (Cloud Key Adapter)
- eSigner CKA (Cloud Key Adapter) är en Windows-baserad applikation som använder CNG-gränssnittet (KSP Key Service Provider) för att tillåta verktyg som certutil.exe och signtool.exe att använda eSigner CSC för automatiserade kodsigneringsoperationer. eSigner CKA fungerar som en virtuell USB-token och laddar kodsigneringscertifikaten till certifikatarkivet.
eSigner och CodeSignTool för automatiserad EV-kodsignering
- CodeSignTool är idealiskt för automatiserade batchprocesser för signering av stora volymer eller integration i befintliga CI/CD-pipeline-arbetsflöden.
- Läs vår CodeSignTool guide om hur man signerar kodobjekt utan att bli tillfrågad om manuell OTP-inmatning för varje fil.
- Chef över till Kommandoguide för eSigner CodeSign Tool för att veta mer om kommandon, alternativ och parametrar som stöds.
Specifika CI/CD Service Integration Guides
Nedan finns specifika guider om hur man automatiserar kodsignering med eSigner för de mest populära CI/CD-plattformarna.- Cloud Code Signing-integration med CircleCI
- Cloud Code Signing-integration med GitHub Actions
- Cloud Code Signing-integration med GitLab CI
- Cloud Code Signing-integration med Travis CI
- Cloud Code Signing-integration med Jenkins CI
- Cloud Code Signing-integration med Azure DevOps
- Cloud Code Signing Integration med BitBucket
Testar EV-kodsignering i sandlådan
SSL.com har en separat "sandlåda"-miljö för vår eSigner molnsigneringstjänst så att användare kan experimentera med de olika apparna, verktygen och API:erna innan de arbetar med live EV-kodsignering certifikat.- Gå över till vår artikeln hur man gör som inkluderar eSigner-demouppgifter, QR-koder och konfigurationsinformation för att underlätta experimentell användning av eSigner Express Sandlåda, CodeSign Tooloch CCS, Kodsignering.
- För en fullständig guide om hur du skapar ett sandlådekonto, skapar en testorder och använder Sandbox med SSL.com:s SWS API, kan du läsa vår guideartikel: Använda SSL.com Sandbox för testning och integration.
Specifika miljöguider
SSL.coms EV Code Signing-certifikat kan användas i olika kodsigneringsmiljöer. Se artiklarna nedan för specifika guider:- Signera din Java-kod med ett OV/IV- eller EV-kodsigneringscertifikat
- Signering av drivrutiner i kärnläge för Windows med EV- eller OV-kodsigneringscertifikat
- FAQ: Kernel-läge kod signeringscertifikat
- Använda Jsign från Linux-kommandoraden för OV/IV-kodsignering och EV-kodsignering
- Kodsignering med Azure DevOps, med ett certifikat lagrat i Azure Key Vault