1. Domov
  2. Nápoveda
  3. Code Signing certifikáty
  4. Možnosti uloženia Code Signing EV certifikátu
{"copy":"Skop\u00edrova\u0165","expand":"Rozbali\u0165","collapse":"Zbali\u0165","copy_success":"Skop\u00edrovan\u00e9!","copy_error":"Kop\u00edrovanie zlyhalo!"}

Možnosti uloženia Code Signing EV certifikátu

Code Signing EV certifikát musí byť vždy uložený na bezpečnom tokene, ktorý je predpokladom jeho dôveryhodnosti. Uloženie na tokeny navyše znemožňuje jeho zneužitie, pretoze je chránený heslom a privátny kľúč nie je možné exportovať. Predstavujeme možnosti uloženia Code Signing EV certifikátov, ktore môžu naši zákazníci využiť.

Keylocker

Najbezpečnejší a najmodernejší spôsob uloženia certifikátu v cloude. Code signing certifikát je po vydaní nahraný do služby Keylocker, kde k nemu pristupujete vzdialene a podpisujete metódou hash signing. Je to rýchle, bezpečné ao zabezpečenie certifikátu a privátneho kľúča sa vôbec nemusíte starať. Viac o službe Keylocker nájdete v článku DigiCert KeyLocker (cloud HSM).

V objednávke Code Signing certifikátu stačí ako možnosť uloženia zvoliť Keylocker, následne vám dôjde pozvánka do účtu DigiCert ONE a tam bude aj vydaný certifikát. Autentizáciu a komunikáciu s DigiCert ONE následne ľahko nastavíte pomocou sprievodcu. Podpisovať môžete naďalej pomocou signtool alebo iného nástroja, na ktorý ste zvyknutí, budete mať však k dispozícii aj podpisovacie utility od DigiCertu.

Podepisovanie metódou hash signing je nielen najbezpečnejšie, ale aj najrýchlejšie. Podpisuje sa iba hash súboru, nie celý súbor (ako to robí signtool).

Uloženie na HW token

Starý spôsob uloženia Code Signing certifikátu. V súčasnosti CA používajú token SafeNet 5110. Ten umožňuje uloženie aj iných certifikátov a zabezpečuje ich efektívnu ochranu proti krádeži.

Certifikáty sú spolu s privátnymi kľúčmi uložené na tokeny a privátne kľúče nie je možné exportovať. Pre prácu s certifikátu je nutné token odomknúť heslom; po 10 nesprávnych zadaniach hesla sa token zamkne a stane nepoužiteľným. Brute-force útoky na uhádnutie hesla sú teda vylúčené.

Technické špecifikácie tokenu nájdete na webe výrobcov Alebo v produktovom liste

. Je podporovaný v OS Windows Server 2008/R2, Windows Server 2012 and 2012 R2, Windows 7, Mac OS, Linux, Windows 8 a Windows 10/11. Pripája sa pomocou štandardného USB portu (USB type A) a pamäť pre kľúče predstavuje 80k. Spĺňa ISO 7816-1 až 4.

SafeNet token 5110

Uloženie na HSM (Hardware Security Module)

Zariadenie nazvané HSM je špecializovaný hardvér na uloženie kľúčov, certifikátov alebo iných kryptogracických informácií ( Wikipedia ). HSM funguje ako server a často ako ako rackový server vyzerá.

Ak Vaša organizácia disponuje týmto špecializovaným hardwarom, tak ho može využiť na uloženie Code Signing (a samozrejme ostatných) certifikátov namiesto tokenu a zjednodušiť (či zautomatizovať) si tak proces podpisovania.

Kúpa HSM však nie je podmienkou, pokiaľ ho nevlastníte. Možnosť uloženia na HSM môžete použiť aj v prípade, že chcete mať Code Signing certifikát uložený v cloude tretej strany, napríklad v službe Azure Key Vault či iné obdobné. To je možné, ale CSR musí vzniknúť v tomto trezore.

Možnosť uloženia na HSM je súčasťou objednávky DigiCert CS certifikátu . Počítajte s tým, že ak túto možnosť zvolíte, tak CA DigiCert bude chciet doložiť, že vlastníte skutočne bezpečné a auditované zariadenie.

Bol tento článok pre vás užitočný?