Chứng chỉ ký mã, tùy chọn ký đám mây và tích hợp hoạt động ký

Xem tất cả hướng dẫn

Chứng chỉ ký mã là gì?

Chứng chỉ ký mã là chứng chỉ số cung cấp bằng chứng nhận dạng được chấp nhận trên toàn cầu của nhà xuất bản phần mềm và có thể lấy được từ Cơ quan cấp chứng chỉ (CA) đáng tin cậy công khai như SSL.com. Các công ty phần mềm sử dụng chứng chỉ ký mã để cung cấp bằng chứng chứng minh họ là nhà phát triển ứng dụng. 

Chứng chỉ ký mã cũng ngăn chặn việc giả mạo mã và đảm bảo rằng tệp không bị sửa đổi trái phép, phần mềm độc hại và an toàn để cài đặt. Chứng chỉ ký mã là một tính năng bảo mật cần thiết khi phần mềm đang được phân phối, bán và tải xuống trực tuyến.  Ký kỹ thuật số mã của bạn với chứng chỉ SSL.com đáng tin cậy cho phép người dùng và hệ điều hành biết rằng phần mềm của bạn là xác thực và an toàn để cài đặt. Bạn luôn có thể liên hệ với chúng tôi đội ngũ bán hàng để giải thích các tùy chọn này và cung cấp một báo giá.
Cần chứng chỉ ký mã? SSL.com có ​​các tùy chọn để đáp ứng bất kỳ nhu cầu nào của bạn, tìm hiểu thêm về các chứng chỉ của chúng tôi.

Chọn chứng chỉ ký mã phù hợp

Chứng chỉ Xác thực Tổ chức (OV) và Xác thực Cá nhân (IV) được gọi là chứng chỉ Đảm bảo cao vì chúng yêu cầu xác thực nhiều hơn và do đó cung cấp nhiều sự tin cậy hơn,. Đối với chứng chỉ OV và IV, CA sẽ xác minh tổ chức hoặc cá nhân thực tế đang cố gắng lấy chứng chỉ. Tên của tổ chức hoặc cá nhân cũng được liệt kê trong giấy chứng nhận, tạo thêm sự tin tưởng rằng người được cấp chứng chỉ có uy tín. Chứng chỉ OV thường được sử dụng bởi các tập đoàn, chính phủ và các tổ chức khác muốn cung cấp thêm một lớp niềm tin cho khách truy cập của họ. Ngoài SSL /TLS chứng chỉ, OV và IV cũng thường được sử dụng cho ký mã, ký văn bản, xác thực khách hàng S/MIME chứng chỉ email. Để biết thêm thông tin về các yêu cầu, vui lòng tham khảo SSL.com's Yêu cầu OV và IV. Chứng chỉ ký mã xác thực cá nhân (IV) áp dụng chữ ký điện tử với tên cá nhân, hoàn hảo cho các nhà phát triển phần mềm độc lập và những người đóng góp dự án cá nhân, những người muốn tăng cường sự tin cậy và tín nhiệm từ người dùng của họ.  Chứng chỉ EV, còn được gọi là chứng chỉ ký mã doanh nghiệp, cung cấp mức độ tin cậy tối đa cho khách truy cập và cũng yêu cầu CA nỗ lực nhiều nhất để xác thực. Chứng chỉ EV chỉ có thể được cấp cho các doanh nghiệp và các tổ chức đã đăng ký khác, không được cấp cho các cá nhân. Chứng chỉ ký mã EV tiêu chuẩn của SSL.com độc quyền sở hữu thêm danh tính của một cá nhân vào chứng chỉ ký mã EV tiêu chuẩn. Tùy chọn xác thực này cho phép một công ty sở hữu độc quyền hoặc người đóng góp cá nhân đưa tên của họ vào chữ ký điện tử. Tùy chọn xác thực Quyền sở hữu duy nhất cũng dành cho các doanh nghiệp yêu cầu thêm một lớp bảo mật bằng cách đưa danh tính đã được xác thực của một cá nhân vào chữ ký điện tử. Để biết thêm về các tính năng của các chứng chỉ này, bạn có thể đọc bài viết của chúng tôi,  Tôi cần chứng chỉ ký mã nào? EV hay OV? Nhìn qua, các tính năng xác định của chứng chỉ ký mã OV và EV được liệt kê bên dưới.

Chứng chỉ ký mã IV:

  • Áp dụng chữ ký điện tử với tên cá nhân
  • Hoàn hảo cho các nhà phát triển phần mềm độc lập và những người đóng góp cho dự án cá nhân

Chứng chỉ ký mã OV:

  • Xác minh danh tính của bạn với tư cách là nhà xuất bản phần mềm
  • Bảo vệ phần mềm của bạn khỏi bị giả mạo và lây nhiễm phần mềm độc hại

Chứng chỉ ký mã EV:

  • Khả năng ký cả Trình điều khiển trước Windows 10 và Windows 10
  • Danh tiếng Microsoft SmartScreen ngay lập tức
  • Không hết hạn chữ ký và thời gian đóng dấu
  •  Khả năng đăng nhập trên đám mây bằng eSigner
  • Chứng chỉ ký mã EV độc quyền sở hữu độc quyền bổ sung danh tính của một cá nhân vào Chứng chỉ ký mã EV tiêu chuẩn

Thiết lập và sử dụng tài khoản SSL.com của bạn

Nếu bạn chưa có, hãy bắt đầu bằng tạo tài khoản trên SSL.com. Tài khoản của bạn có khả năng tạo nhiều nhóm cũng như mời nhiều người dùng với các nhiệm vụ vai trò và quyền cụ thể.

Quy trình xác thực

Để xác thực và cấp chứng chỉ OV hoặc IV, SSL.com phải xác minh danh tính, địa chỉ thực và số điện thoại của bạn thông qua các tài nguyên trực tuyến có thể xác minh và / hoặc tài liệu xác minh hợp lệ. Để biết thêm chi tiết về các yêu cầu, bạn có thể đọc Yêu cầu đối với Chứng chỉ SSL.com OV và IV là gì?  Ngoài ra, đối với các đơn đặt hàng Chứng chỉ ký mã IV, người nộp đơn sẽ phải gửi hình ảnh mặt trước và mặt sau của ID cộng với hình ảnh họ cầm ID bên cạnh khuôn mặt của họ. Theo nguyên tắc do CA / Diễn đàn trình duyệt đặt ra, tài liệu bổ sung phải được cung cấp để cấp chứng chỉ EV. Đi qua Câu hỏi thường gặp: Quy trình xác thực mở rộng (EV) để biết tất cả các yêu cầu đối với chứng chỉ EV. Đối với các tổ chức yêu cầu Chứng chỉ ký mã EV, SSL.com sẽ tiến hành xác thực thông qua các tài nguyên trực tuyến đáng tin cậy và/hoặc tài liệu hợp lệ cũng như tài liệu bổ sung theo nguyên tắc do CA/Diễn đàn trình duyệt đặt ra.

Yêu cầu lưu trữ khóa mới đối với Chứng chỉ ký mã OV và IV

Bắt đầu từ ngày 1 tháng 2023 năm XNUMX, SSL.com Chứng chỉ ký mã Xác thực tổ chức (OV) và Xác thực cá nhân (IV) sẽ chỉ được cấp trên thẻ USB Tiêu chuẩn xử lý thông tin liên bang 140-2 (FIPS 140-2) hoặc thông qua dịch vụ ký mã đám mây eSigner của chúng tôi. Thay đổi này tuân thủ các yêu cầu lưu trữ khóa mới của Diễn đàn Cơ quan cấp chứng chỉ/Trình duyệt (CA/B) để tăng cường bảo mật cho các khóa ký mã. Quy tắc trước đó cho phép chứng chỉ ký mã OV và IV được cấp dưới dạng tệp có thể tải xuống từ internet. Do các yêu cầu mới chỉ cho phép sử dụng mã thông báo USB được mã hóa hoặc thiết bị phần cứng tuân thủ FIPS dựa trên đám mây để lưu trữ chứng chỉ và khóa riêng, nên các trường hợp khóa ký mã bị các tác nhân độc hại đánh cắp và sử dụng sai mục đích sẽ giảm đáng kể. Nhấp chuột liên kết này để tìm hiểu thêm về SSL.com giải pháp ký mã đám mây eSigner.

Phương pháp ký và lưu trữ khóa cho chứng chỉ ký mã xác thực mở rộng 

Mã thông báo USB

SSL.com cung cấp các chứng chỉ ký mã được cài đặt sẵn trên token Yubikey FIPS và token USB Thales SafeNet (Gemalto). Mã thông báo Thales SafeNet được trang bị để xử lý khóa RSA lên đến 3072 bit, rất quan trọng đối với việc ký chế độ hạt nhân và là điều kiện tiên quyết trong một số môi trường phát triển phần mềm như ký trình điều khiển cho hệ thống Microsoft. Thông qua một quy trình được gọi là chứng thực từ xa, khách hàng của SSL.com, bất kể họ ở đâu, đều có thể tạo cặp khóa trực tiếp trên YubiKey của họ cùng với chứng chỉ chứng thực xác minh việc tạo khóa riêng trên thiết bị. Chứng chỉ chứng thực sau đó có thể được sử dụng để gia hạn chứng chỉ đã hết hạn trong Yubikey. Hỗ trợ chứng thực từ xa là một tính năng hiện không khả dụng đối với khách hàng sử dụng mã thông báo Thales. Để biết so sánh chi tiết hơn giữa các tính năng của mã thông báo Yubikey và Thales SafeNet, vui lòng tham khảo bài viết này của SSL.com: Mã thông báo Yubikey FIPS so với mã thông báo USB Thales/Gemalto. Cả mã thông báo Yubikey và Thales SafeNet đều được thiết kế để tăng cường bảo mật mà không làm ảnh hưởng đáng kể đến trải nghiệm của người dùng. Việc lựa chọn giữa chúng nên được hướng dẫn bởi phương pháp tiếp cận bảo mật và nhu cầu hoạt động của tổ chức. Tuy nhiên, là thiết bị vật lý, chúng có thể bị mất hoặc bị đánh cắp, gây ra rủi ro bảo mật đáng kể và có khả năng phải chịu chi phí thay thế cao. Trong bối cảnh làm việc từ xa hiện đại, hậu cần phân phối và duy trì các mã thông báo phần cứng này có thể đặt ra những thách thức đáng kể cho các nhóm CNTT, đòi hỏi chi phí và nhân lực đáng kể. Ngoài ra, các mã thông báo này không cung cấp cùng mức độ tiện lợi như các giải pháp dựa trên đám mây, đặc biệt là đối với các nhà phát triển làm việc trong đường ống CI/CD.

Đám mây HSM

Tùy chọn thứ hai cho việc ký mã EV là sử dụng HSM được kết nối mạng trên đám mây để lưu trữ chứng chỉ và khóa ký mã. Phương pháp này cung cấp mức độ bảo mật tương đương với mã thông báo USB khi HSM được cấu hình để có các khóa không thể xuất trong quá trình tạo khóa. Với tài liệu khóa có thể truy cập được trên đám mây, việc tích hợp với các dịch vụ CI/CD trở nên dễ dàng hơn cũng như việc cộng tác nhóm với cùng một chứng chỉ và tài liệu khóa. Cần lưu ý rằng phương pháp này có thể yêu cầu chuyên môn với nhà cung cấp dịch vụ đám mây cụ thể. Đối với việc cấp chứng chỉ ký mã, SSL.com hỗ trợ nhiều HSM đám mây khác nhau, bao gồm Azure Key Vault (Cấp cao cấp), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM và Google Cloud HSM. Để biết thêm chi tiết về từng loại, bạn có thể đọc hướng dẫn của chúng tôi: HSM đám mây được hỗ trợ để ký tài liệu và ký mã EV.

  • Để biết cách bạn có thể sử dụng tài khoản HSM của mình và thuê một chuyên gia cho Cloud HSM Attestation, bạn có thể đọc bài viết của chúng tôi Mang chứng chỉ HSM trên đám mây của kiểm toán viên của riêng bạn.
  • SSL.com hiện đang phát triển và thử nghiệm các quy trình chứng thực cho một loạt các nền tảng HSM. Bạn có thể điền vào cái này mẫu yêu cầu để tìm hiểu xem chúng tôi có đang thử nghiệm nền tảng HSM không được liệt kê ở trên hay không.

eSigner: Ký mã như một dịch vụ

Thứ ba, một cách tiếp cận hiện đại và rất thuận tiện cho EV Code Signing là xử lý việc ký mã như một dịch vụ. Dịch vụ ký mã đám mây eSigner của SSL.com là một ví dụ về phương pháp này.  Với eSigner, SSL.com xử lý cả cơ sở hạ tầng khóa công khai (PKI) và HSM để ký mã. Các khóa ký không thể xuất được lưu trữ trong HSM của eSigner, nơi cả khách hàng và SSL.com đều không thể xem chúng. Bằng cách này, tiêu chuẩn bảo mật cao như với mã thông báo và HSM đám mây, nhưng khách hàng không cần phải xử lý trực tiếp với chúng. Môi trường eSigner bao gồm một số tùy chọn ký kết để đáp ứng nhu cầu của nhiều khách hàng, từ các nhà phát triển cá nhân đến các tổ chức phức tạp.

Tùy chọn ký eSigner

  • Với dịch vụ eSigner của SSL.com, bạn có thể sử dụng Chứng chỉ ký mã xác thực mở rộng SSL.com của mình để ký mã từ bất kỳ thiết bị kết nối internet nào mà không cần bất kỳ phần cứng bổ sung nào. Sau khi đăng ký đơn đặt hàng chứng chỉ EV Code Signing của bạn trong eSigner, bạn có thể ký mã bằng Ứng dụng web eSigner Express, eSigner CodeSignTool hoặc thông qua CSC của SSL.com API ký mã

Các loại tệp được hỗ trợ eSigner

Bắt đầu với chứng chỉ ký mã của bạn:

Khi nhận được chứng chỉ ký mã mới, bạn có thể có câu hỏi về cách sử dụng nó và những ứng dụng nào nó có thể được tích hợp. Các hướng dẫn được liên kết bên dưới trả lời các câu hỏi phổ biến mà bạn có thể có về cách bắt đầu với chứng chỉ mới của mình.

Bắt đầu với eSigner Cloud Code Signing

Dưới đây là các tài nguyên có thể cung cấp cho bạn thêm thông tin về cách sử dụng giao diện của eSigner và thiết lập nó cho các nhiệm vụ theo định hướng nhóm.

Sử dụng Yubikeys của bạn

Các chứng chỉ như EV Code Signing được đặt hàng từ SSL.com đi kèm với tùy chọn được cài đặt sẵn trong Mô-đun bảo mật phần cứng (HSM) như mã thông báo USB khóa bảo mật đã được xác thực FIPS 140-2. Nếu chứng chỉ của bạn chưa được xác thực, bạn có thể bao gồm số lượng mã thông báo bạn yêu cầu khi đặt hàng và trước khi hoàn tất quá trình xác thực. Trong trường hợp chứng chỉ của bạn đã được cấp, bạn vẫn có tùy chọn đặt hàng các mã thông báo bổ sung. Để biết cách thêm Yubikeys vào chứng chỉ ký mã EV của bạn, hãy nhấp vào hướng dẫn này: Cách thêm YubiKeys vào Đơn đặt hàng chứng chỉ của bạn Nếu bạn đã có một Yubikey, bạn có thể tham khảo các hướng dẫn sau về cách vận hành nó:

Tự động hóa và Tích hợp

eSigner CKA (Bộ điều hợp phím đám mây)

  •  eSigner CKA (Bộ điều hợp phím đám mây) là một ứng dụng dựa trên Windows sử dụng giao diện CNG (Nhà cung cấp dịch vụ khóa KSP) để cho phép các công cụ như certutil.exe và signtool.exe sử dụng eSigner CSC cho các hoạt động ký mã tự động. eSigner CKA hoạt động giống như một mã thông báo USB ảo và tải các chứng chỉ ký mã vào kho lưu trữ chứng chỉ. 

eSigner và CodeSignTool để ký mã EV tự động

  • CodeSignTool lý tưởng cho các quy trình hàng loạt tự động để ký số lượng lớn hoặc tích hợp vào quy trình công việc đường ống CI / CD hiện có.
  • đọc của chúng tôi Hướng dẫn CodeSignTool về cách ký các đối tượng mã mà không bị nhắc nhập OTP thủ công cho mỗi tệp.
  • Đi qua Hướng dẫn lệnh cho công cụ eSigner CodeSign để biết thêm về các lệnh, tùy chọn và tham số được hỗ trợ.

Hướng dẫn tích hợp dịch vụ CI / CD cụ thể

Dưới đây là hướng dẫn cụ thể về cách tự động ký mã bằng eSigner cho các nền tảng CI / CD phổ biến nhất. Tìm hiểu thêm về giá trị của ký mã dựa trên đám mây bằng cách đọc bài viết của chúng tôi: Tự động hóa ký mã đám mây với Dịch vụ CI / CD.

Kiểm tra ký mã EV trong Sandbox

SSL.com duy trì một môi trường “hộp cát” riêng cho dịch vụ ký kết đám mây eSigner của chúng tôi để người dùng có thể thử nghiệm với các ứng dụng, tiện ích và API khác nhau trước khi làm việc trực tiếp Ký mã EV giấy chứng nhận. < trước>
  • Đi qua bài viết hướng dẫn bao gồm thông tin đăng nhập demo eSigner, mã QR và thông tin cấu hình để dễ dàng sử dụng thử nghiệm Hộp cát eSigner Express, MãDấu HiệuCông CụCSC, Ký mã.
  • Để có hướng dẫn đầy đủ về cách thiết lập tài khoản hộp cát, tạo đơn đặt hàng thử nghiệm và sử dụng Hộp cát với API SWS của SSL.com, bạn có thể đọc bài viết hướng dẫn của chúng tôi: Sử dụng Hộp cát SSL.com để Kiểm tra và Tích hợp.

    • Hướng dẫn Môi trường Cụ thể

    Chứng chỉ ký mã EV của SSL.com có ​​thể được sử dụng trong nhiều môi trường ký mã khác nhau. Tham khảo các bài viết dưới đây để được hướng dẫn cụ thể:  Ngoài những điều được chỉ ra ở trên, có nhiều môi trường hơn mà chứng chỉ ký mã SSL.com tương thích với. Tiếp xúc hỗ trợ@ssl.com hoặc sử dụng trang web trò chuyện cho các câu hỏi trên các môi trường khác.
     

    Liên hệ với Đội ngũ bán hàng SSL.com

    Nếu bạn cần ai đó hướng dẫn bạn tất cả các tùy chọn ký mã, thảo luận về tích hợp tùy chỉnh, các giao dịch khối lượng lớn, báo giá hoặc các giải pháp tùy chỉnh khác, bạn luôn có thể liên hệ với nhóm bán hàng của chúng tôi theo địa chỉ sales@ssl.com hoặc điền vào biểu mẫu bên dưới.


    Twitter
    Facebook
    LinkedIn
    Reddit
    E-mail

    Nhóm hỗ trợ SSL

    Tất cả bài viết »

    Luôn cập nhật thông tin và bảo mật

    SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

    Chúng tôi rất mong nhận được phản hồi của bạn

    Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.

    Tham gia khảo sát