1. Domů
  2. Nápověda
  3. Code Signing certifikáty
  4. Možnosti uložení Code Signing certifikátu
{"copy":"Zkop\u00edrovat","expand":"Rozbalit","collapse":"Sbalit","copy_success":"Zkop\u00edrov\u00e1no!","copy_error":"Kop\u00edrov\u00e1n\u00ed selhalo!"}

Možnosti uložení Code Signing certifikátu

Code Signing certifikát musí být vždy uložen na bezpečném zařízení, které je předpokladem jeho důvěryhodnosti. Uložení na tokenu navíc znemožňuje jeho zneužití, protože je chráněný heslem a privátní klíč nelze exportovat. Představujeme možnosti uložení Code Signing certifikátů, které mohou naši zákazníci využít.

Keylocker

Nejbezpečnější a nejmodernější způsob uložení certifikátu v cloudu. Code signing certifikát je po vydání nahrán do služby Keylocker, kde k němu přistupujete vzdáleně a podepisujete metodou hash signing. Je to rychlé, bezpečné a o zabezpečení certifikátu a privátního klíče se vůbec nemusíte starat. Více o službě Keylocker najdete v článku DigiCert KeyLocker (cloud HSM).

V objednávce Code Signing certifikátu stačí jako možnost uložení zvolit Keylocker, následně vám dojde pozvánka do účtu DigiCert ONE a tam bude i vydaný certifikát. Autentizaci a komunikaci s DigiCert ONE následně snadno nastavíte pomocí průvodce. Podepisovat můžete nadále pomocí signtool či jiného nástroje, na který jste zvyklí, budete mít však k dispozici i podepisovací utility od DigiCertu.

Podepisování metodou hash signing je nejen nejbezpečnější, ale také nejrychlejší. Podepisuje se pouze hash souboru, nikoliv celý soubor (jako to dělá signtool).

Uložení na HW token

Starý způsob uložení Code Signing certifikátu. V současnosti CA používají token SafeNet 5110. Ten umožňuje uložení i jiných certifikátů a zabezpečuje jejich efektivní ochranu proti krádeži.

Certifikáty jsou spolu s privátními klíči uloženy na tokenu a privátní klíče nelze exportovat. Pro práci s certifikáty je nutné token odemknout heslem; po 10 špatných zadání hesla se token zamkne a stane nepoužitelným. Brute-force útoky na uhádnutí hesla jsou tedy vyloučeny.

Technickou specifikaci tokenu najdete na webu výrobce či v produktovém listu.

Je podporován v OS Windows Server 2008/R2, Windows Server 2012 a 2012 R2, Windows 7, Mac OS, Linux, Windows 8 a Windows 10/11. Připojuje se pomocí standardního USB portu (USB type A) a pamět pro klíče činí 80k. Splňuje ISO 7816-1 až 4.

Safenet token 5110

Uložení na HSM (Hardware Security Module)

Zařízení nazvané HSM je specializovaný hardware pro uložení klíčů, certifikátů či jiných kryptogracických informací (Wikipedia). HSM funguje jako server a často i jako rackový server vypadá.

Pokud vaše organizace disponuje tímto specializovaným hardwarem, tak ho může využít pro uložení Code Signing (a samozřejmě ostatních) certifikátů místo tokenu a zjednodušit (či zautomatizovat) si tak proces podepisování.

Koupě HSM však není podmínkou, pokud ho nevlastníte. Možnost uložení na HSM můžete použít i v případě, že chcete mít Code Signing certifikát uložen v cloudu třetí strany, například ve službě Azure Key Vault či jiné obdobné. To je možné, ale CSR musí vzniknout v tomto trezoru.

Možnost Uložení na HSM je součástí objednávky DigiCert CS certifikátu. Počítejte s tím, že pokud tuto možnost zvolíte, tak CA DigiCert bude chtít doložit, že vlastníte skutečně bezpečné a auditované zařízení.

Byl tento článek pro vás užitečný?