Zbavte sa tokenu a začnete podpisovať v cloude

9.2.2024 | Jindřich Zechmeister

Všetci zákazníci využívajúci Code Signing certifikáty dobre vedia, že ich získanie a uloženie je možné iba na token či HSM. Teraz konečne prichádza úľava a možnosť zbaviť sa tokenu navždy; zároveň nemusíte investovať do drahého hardvérového HSM. Ako čerešnička na torte je možnosť automatizácie podpisovania

KeyLocker znamená revolúciu v podpisovaní

Doteraz bolo podpisovanie pomocou cloudu a metódy hash-signing výsadou DigiCert ONE a Software Trust Manager. Táto služba je ale pre väčšinu zákazníkov pomyselným "kanónom na vrabce", pretože ponúka zbytečne veľa možností. Jej získanie je komplikovanejšie, protože poreebujete odhadnoúť počet podpisov na rok a tento počet licencovať. V neposlednej rade nie je DigiCert ONE cenovo dostupný každému.

O to väčší zmysel dává jednoduchá, ale robustná služba, ktorú získate automaticky k zakúpenému certifikátu a nemusíte nič riešiť. Po vydaní certifikátu môžete hneď podpisovať. Privítajte DigiCert KeyLocker, ktorý vám teraz prinášame.

KeyLocker vám prináša:

  • Úložisko, ktoré je certifikované podľa štandardu FIPS 140-2 Level 3
  • Generovánie lľúčov, ochrana kľúčov a podpisovania bez čakania na dodanie tokenu.
  • Cloudová služba, ktorá umožňuje podpisovať vzdialene či podpisovať certifikát s kolegami pracujúcími inde..
  • Bezšvová integrácia sa známymi CI/CD pipelines.
  • Každý KeyLocker vám umožňuje vygenerovať až 1,000 signatures behom platnosti certifikátu. Tento limit je možné zvýšiť zakúpením ďalších jednotiek.

Spôsob podpisovania sa pre vás nemení a zostáva úplne rovnaký. Nie je teda dôvod ostávať pri zastaralom tokenu a podpisovať ročne.

Konečne môžete podpisovanie automatizovať

Tak ako sa TLS certifikáty používajú na každom webe, tak aj každý vývojár softwaru podpisuje svoje dielo, aby ho mohol zverejniť a aplikácie boli pre zákazníkov dôveryhodné. V dnešnej dobe vo firmách prevláda agilný vývoj, kedy vývojári odporúčajú zákazníkovi produktu denne nové aktualizácie a funkčnosť. Preto je dôležité automaticky podpisovať všetky výstupy, aby sa zaručil nielen ich pôvod, ale aj ich nemennosť (integrita), a tým aj ich dôveryhodnosť.

Pri certifikáte uloženom na tokene nie je možné automatické podpisovanie, pretože pri každom podpisovaní je potrebné zadať heslo k tokenu. Okrem toho musí byť token fyzicky dostupný, podpisovanie prostredníctvom vzdialenej plochy nefunguje. Tokeny už dlho robia vrásky na čele všetkým vývojárom softvéru, ktorých predovšetkým zdržujú.

Na druhej strane, podpisovanie KeyLocker môže byť pripojené k existujúcej CI/CD pipeline a plne automatizované. DigiCert pripravil pluginy pre hlavné platformy - Azure DevOps, GitHub a Jenkins. Viac informácií nájdete na pluginoch; k dipozícii sú tiež integračné skripty. Pokiaľ sa pri veľkých aplikáciách obávate zvýšených prenosov dát po sieti, tak nemusíte; aplikácia neputuje k DigiCertu po sieti celá, ale iba jej hash (otľačok). Vďaka tomu je podpisovanie rýchle.

Získajte KeyLocker spolu s certifikátom

Získánie KeyLockeru je ľahké - stačí pri objednávaní Code Signing certifikátu zvoliť KeyLocker ako umiestnenie certifikátu (provisioning). Po vyžiadaní certifikátu automaticky dostanete pozvánku na nový účet KeyLocker v službe DigiCert ONE. Po dokončení objednávky a vydaní certifikátu už nedostanete token, ale certifikát nájdete v KeyLocker. Certifikát teda máte k dispozícii hneď po jeho vydaní a nemusíte čakať na doručenie tokenu. Nič vám nebude brániť v podpisovaní.

Ako spoločník v prvých krokoch s novou službou vám poslúží článok Podpisovanie pomocou KeyLocker cloud HSM, ktorý vám pomôže aj so samotným podpisovaním.

Nová éra digitálneho podpisovania kódu je tu, preto neváhajte a pridajte sa ku spokojným uživateľom KeyLockeru.

Ďalšie zdroje a informácie:

  1. Dokumentácia služby KeyLocker, dostupná na https://docs.digicert.com/en/digicert-keylocker.html
  2. Článok nápovedy o podpisovaní KeyLockerom, dostupný na Podposivanie pomocou KeyLocker cloud HSM