Code Signing centrum - podpora podpisovania aplikácií
Centrum zákazníckej podpory Code Signing certifikátov (certifikátov na podpisovanie kódu a aplikácií). Tu nájdete všetky relevantné informácie ohľadom podpisovanie kódu a použitia Code Signing certifikátov.
Code signing certifikáty
Certifikáty na podpisovanie kódu (Code signing) slúžia na podpisovanie aplikácií, vytvorených na rôznych vývojových platformách. Cieľom podpisovania kódu je nielen autentizácia vydaváteľa, ale hlavne ochrana pravosti aplikácie a jej nemennosti. Ak by niekto aplikáciu pozmenil (napríklad pridal malware), podpis prestáva byť platný. Preto väčšina súčasných systémov podpis aplikácie vyžaduje (MacOS), alebo pred spustením nepodpísanej aplikácie dôrazne varuje (Windows).
Code signing EV certifikát
Aj pri certifikátoch pre podpis kódu ponúkame certifikát s rozšíreným overením. Jeho výhody a návod na jeho aktiváciu nájdete v nasledujúcich odsekoch.
Význam Code signing EV certifikátu
Jeho významom je lepšie zabezpečenie certifikátu a privátneho kľúča. Certifikát je spolu s privátnym kľúčom uložený na tokene a nie je možné ho exportovať. Použitie certifikátu je chránené heslom a po niekoľkých zlých pokusoch sa token zmaže. Jedná sa o výbornú ochranu vášho code signing certifikátu pred zneužitím.
Ďalšou dôležitou výhodou Code Signing EV certifikátu je absolútna dôveryhodnosť vo filtri SmartScreen, ktorý je súčasťou Windows. Vďaka EV podpisu máte istotu, že systém Windows vašu aplikáciu používateľom nezablokuje. Viac informácií o Code Signing certifikátoch v našej ponuke nájdete na produktovej stránke DigiCert Code Signing EV .Ako získať a aktivovať Code Signing EV certifikát
Celý proces získania a aktivácia Code Signing EV certifikátu je popísaný v článku Sprevádzkovanie (aktivácia) Code Signing EV certifikátu .
Ako podpisovať aplikácie
Väčšina našich zákazníkov vyvíja v prostredí MS Windows a využíva Windows SDK. Podpisovanie potom prebieha pomocou nástroja signtool.exe. Dokumentáciu k signtool nájdete na stránke SignTool.exe (Sign tool) na webe Microsoftu.
Ako podpisovať softvér digitálnym certifikátom
Na podpisovanie aplikácií Code Signing potrebujete dve veci:
- Code Signing certifikát
- Aplikáciu na podpisovanie
Code Signing certifikát získate od SSLmarketu a to je jednoduché. Podpisovaciu aplikáciu si zvolíte na základe platformy, na ktorej vyvíjate.
- Signtool z Windows SDK (nápoveda)
- Jarsigner (pozri článok na blogu).
- Utilita smctl od DigiCertu - odporúčame pre KeyLocker (nápoveda).
Väčšina našich zákazníkov vyvíja v prostredí MS Windows a využíva Windows SDK. Podpisovanie potom prebieha pomocou nástroja signtool.exe. Dokumentaciu k signtool nájdete na stránke SignTool.exe (Sign Tool) na webe Microsoftu.
Podpisovanie pomocou cloudového HSM
Cloudové HSM slúži k bezpečnému uloženiu certifikátu Code Signing a vzdialenému prístupu k nemu. Na rozdiel od certifikátu na tokene umožňuje automatizáciu a podpisování je veľmi rýchle, pretože sa do cloudu posiela iba hash súboru (tzv. hash signing).
Podpisovanie pomocou hash-signing a cloudu dôrazne odporúčame na rozdieľ od tokenu. Je to bezpečné, rýchle a lacné.
Odporúčané cloudové HSM
- DigiCert KeyLocker
- DigiCert Software Trust Manager
- Azure Key Vault
- GCP Cloud KMS (Google)
- AWS CloudHSM
V následujúcich odstavcoch nájdete výhody a nevýhody jednotlivých riešení.
DigiCert KeyLocker
Najlacnejšou alternatívou k tokenu je KeyLocker. Jedná sa o jednoduchú službu pre jedného užívateľa, ktorá umožňuje jednoduché podpisovanie kódu. DigiCert poskytuje vlastné KSP a PKCS#11 knižnice, ktorá si nainštaluje do systému a podpisuje kód úplne rovnako ako ste zvyknutý. Pomocou ich utility SMCTL je podpisovanie ešte jednoduchšie a priamočiarejšie ako so signtool. SMCTL je kompatibilné s najpoužívanejšími nástrojmi pre Code Signing a dokáže ich aj spúšťať. KeyLocker má limit 1000 podpisov, hodí sa preto pre menej časté podpisovanie. Počet podpisov je možné ale za doplatok rozšíriť.
DigiCert Software Trust Manager
Jedná sa o vrcholné cloudové riešenie z platformy DigiCert ONE, ktorá je určená pre enterprise použitie. Ponúka správu neobmedzeného počtu certifikátov, používateľov a je neobmedzene škálovateľná. Prepojenie s vašou CI/CD platformou zaistí pripravené skripty a knižnice. Prístup k STM a počet podpisov sa licencuje. Pre viac informácií o cene a spôsobe lecencovania nás neváhajte kontaktovať. Dokumentáciu nájdete na webe DigiCertu.
Cloudové HSM Azure a Google
Obaja veľký cloudoví hráči poskytujú službu HSM s bezpečným vzdiaľeným prístupom cez vlastné knižnice, ktoré fungujú ako KSP vo Windows. Ich použitie nie je zložité a cena oboch je veľmi priaznivá (platí sa iba za kryptooperácie). Azure a GCP odporúčame pre veľké množstvo podpisov ročne, pretože náklady sú nízke.
Návod pre podpisovanie kódu pomocou Azure Key Vault nájdete v článku Podepisování kódu pomocí Azure Key Vault. Pre GCP Cloud KMS potom v článku Podpisovanie kódu pomocou Google Cloud KMS.
AWS CloudHSM
Pri Amazone je tiež možné podpisovať pomocou cloudu za použitia Signtool z Windows SDK, zriadené HSM je však spoplatenné za hodinu prevádzky. Okrem fixných nákladov sa platí aj za operácie (podpisy). Pokiaľ AWS doteraz nepoužívate, odporúčame skôr Azure či GCP HSM. Viac informácií o použití so Signtool nájdete v článku Use Microsoft SignTool with Client SDK 3 to sign files.
Porovnanie Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM
Porovnanie všetkých troch cloud HSM nájdete v nasledujúcej tabulke. Je zamerané na náklady za operácie podpisu (hash signing), fixné poplatky, škálovanie, nízke využitie, prevádzkovú zložitosť a latenciu/priepustnosť.
| Faktor | Azure Key Vault | Google Cloud KMS | AWS CloudHSM / KMS + HSM |
|---|---|---|---|
| Poplatky za operácie (sign/verify) | Veľmi nízke (≈ $/10 000 operácií). | Veľmi nízke (≈ $/10 000 operácií). | Nie je kľúčový náklad; hlavné sú fixné poplatky za HSM. |
| Fixné náklady | Možný mesačný poplatok za HSM-kľúč; inak nízké. | Bez výrazných fixných nákladov v základnom režime. | Vysoké – hodinový nájom HSM (24/7) či Custom Key Store. |
| Škálovanie a kapacita | Lineárne podľa transakcií; obmedzené throttlingom. | Lineárne; pozor na kvóty (QPS/QPM). | Škálovanie pridávaním HSM; rastie a fixné náklady. |
| Náklad pri nízkom využití | Výhodné — platí sa hlavne za operácie. | Výhodné — platí sa hlavne za operácie. | Nevýhodné — platí sa HSM aj bez zátaže. |
| Prevádzková zložitosť | Nízka — spravovaná služba. | Nízka — spravovaná služba. | Vyššia — správa HSM clusteru a HA/DR. |
Kontaktujte nás
Ak si nebudete vedieť poradiť s akýmkoľvek krokom objednávky certifikátu, vystavením certifikátu, inštaláciou certifikátu, alebo s akýmkoľvek dotazom, neváhajte kontaktovať našu zákaznícku podporu , ktorá vám poradí a pomôže. Naši odborníci s certifikáciou Symantec Web Security Sales Expert Plus sú k dispozícii každý všedný deň počas bežného pracovného času.
Kontaktovať nás môžete aj priamo z vášho zákazníckeho účtu zaslaním požiadavky z menu Autorizovaná požiadavka.
FAQ - často kladené otázky
Je certifikát Code Signing viazaný na názov mojej domény?
Nie je. Code Signing nie je vydávaný pre doménu, ale pre konkrétnu organizáciu. Názov tejto organizácie má v Common name.
Čo všetko môžem podpísať?
Certifikátom DigiCert Code Signing je možné podpísať rôzne typy softvéru a skriptov, aby sa zabezpečilo, že pochádzajú z dôveryhodného zdroja a neboli po vydaní zmenené.
✅ Čo je možné podpísať:
- Spustiteľné súbory: .exe, .dll, .ocx, .msi, .cab>
- Ovládače pre Windows (WHLK/HLK)
- Java aplikácia: .jar
- Makrá a VBA skripty v Microsoft Office
- PowerShell skripty: .ps1
- macOS aplikácie a balíčky (cez Apple Developer ID)
- Adobe AIR aplikácie
- .NET aplikácie a knižnice
- Skripty a inštalátory v rôznych prostrediach
⚠️ Čo nemožno podpísať:
- Kód vyžadujúci kvalifikovaný elektronický podpis podľa eIDAS
- Súbory, ktoré nie sú určené na distribúciu
- Formáty a platformy, ktoré nepodporujú digitálny podpis
Je časovo označený kód platný aj po vypršaní certifikátu Code Signing?
Áno, časovo označený (timestampovaný) kód zostáva platný aj po vypršaní certifikátu. Ak pri podpisovaní použijete časovú pečiatku (timestamp), systém overí, že bol kód podpísaný v dobe platnosti certifikátu. Vďaka tomu je podpis naďalej dôveryhodný. Bez použitia timestampu je nutné kód znova podpísať novým certifikátom.
Ako môžem časovo označiť projekty VBA?
Pozri článok Instructions for timestamping VBA code na webe DigiCert.com
Existuje obmedzenie počtu aplikácií, ktoré môžem podpísať certifikátom Code Signing?
Nie, certifikátom môžete podpísať nekonečný počet aplikácií. Keď máte Code Signing certifikát na tokene, tak môžete podpisovať neobmedzene. Počet podpisov sa zohľadňuje iba v cloudových službách:
- DigiCert KeyLocker - počas platnosti certifikátu máte 1000 podpisov, ďalšie môžete dokúpiť.
- Softvér Trust Manager - podpisy sa licencujú na dobu zmluvy.
Ako sa podpisuje pomocou certifikátu v cloude?
Podepisovanie pomocou Code Signing certifikátu je jednoduché a rýchle. Využíva tzv. hash-based signing, kedy sa zo súboru najprv vypočíta hash, ktorý je následne odoslaný do cloudu na podpísanie. Samotný súbor sa nikam neprenáša – do podpisu sa vráti iba podpísaný hash. Vďaka tomu je celý proces bezpečný a efektívny.
Hash signing pomocou cloudu môžete využiť pri týchto produktoch:
Mrzí nás, že ste tu nenašli potrebné.
Pomôžete nám článok vylepšiť? Napíš nám, čo ste tu očakávali a nedozvedeli sa.