Možnosti uložení Code Signing EV certifikátu

Code Signing EV certifikát musí být vždy uložen na bezpečném zařízení, které je předpokladem jeho důvěryhodnosti. Uložení na tokenu navíc znemožňuje jeho zneužití, protože je chráněný heslem a privátní klíč nelze exportovat. Představujeme možnosti uložení Code Signing EV certifikátů, které mohou naši zákazníci využít.

Uložení na HW token

Nejčastější způsob uložení Code Signing EV certifikátu. V současnosti CA používají token SafeNet 5110, který získáte k certifikátu zdarma. Ten umožňuje uložení i jiných certifikátů a zabezpečuje jejich efektivní ochranu proti krádeži.

Certifikáty jsou spolu s privátními klíči uloženy na tokenu a privátní klíče nelze exportovat. Pro práci s certifikáty je nutné token odemknout heslem; po 10 špatných zadání hesla se token zamkne a stane nepoužitelným. Brute-force útoky na uhádnutí hesla jsou tedy vyloučeny.

Technickou specifikaci tokenu najdete na webu výrobce či v produktovém listu

. Je podporován v OS Windows Server 2008/R2, Windows Server 2012 and 2012 R2, Windows 7, Mac OS, Linux, Windows 8 a Windows 10. Připojuje se pomocí standardního USB portu (USB type A) a pamět pro klíče činí 80k. Splňuje ISO 7816-1 až 4.

Safenet token 5110

Uložení na HSM (Hardware Security Module)

Zařízení nazvané HSM je specializovaný hardware pro uložení klíčů, certifikátů či jiných kryptogracických informací (Wikipedia). HSM funguje jako server a často i jako rackový server vypadá.

Pokud vaše organizace disponuje tímto specializovaným hardwarem, tak ho může využít pro uložení Code Signing (a samozřejmě ostatních) certifikátů místo tokenu a zjednodušit (či zautomatizovat) si tak proces podepisování.

Možnost Uložení na HSM je součástí objednávky DigiCert CS EV certifikátu. Počítejte s tím, že pokud tuto možnost zvolíte, tak CA DigiCert bude chtít doložit, že vlastníte skutečně bezpečné a auditované zařízení.