Code Signing certifikáty na tokene? S nami v pokoji as tokenom zadarmo
11.5.2023 | Jindřich Zechmeister
Code Signing certifikáty môžu byť novo iba na tokenu či HSM. Už nebude možné uložiť ich lokálne do počítača, napríklad v obľúbenom formáte PFX súboru. Prechod na token vám chceme maximálne zjednodušiť, preto ho pri viacročných objednávkach obdržíte zadarmo a certifikát vám na token v každom prípade pripravíme.
Čo sa mení a odkedy?
Od 16. 5. 2023 musia byť všetky Code Signing certifikáty vydané na bezpečnom úložisku – tak ako EV Code Signing. Úložiskom, ktoré je možné využiť, je token či HSM. Token musí spĺňať certifikáciu FIPS 140-2 Level 2 alebo Common Criteria EAL 4+. Táto zmena je platná pre celé odvetvie, teda aj pre všetky certifikačné autority. Všetci musia na tieto pravidlá pristúpiť a dodržiavať ich.
Všetci majitelia a používatelia Code Signing certifikátov teda budú musieť mať svoj certifikát na tokene, čo bola doteraz výsada a výhoda iba Code Signing EV certifikátov.
Pri viacročnej objednávke získate token zadarmo
My sme pre našich zákazníkov tento problém vyriešili pre nich najkomfortnejším spôsobom – budeme im dodávať token s už nainštalovaným certifikátom. Pri objednaní Code Signing certifikátu na 2 alebo 3 roky dostanete token v cene 120 USD zadarmo.
Doporučujeme vám preto zakúpiť Code Signing certifikát na viac rokov a využiť ponuku získať token zadarmo. Budete mať certifikát vyriešený bez starostí a na viac rokov dopredu. Na predĺženie certifikátu vám znovu poslúži token, ktorý už budete mať od nás.
Token od nás dostanete do 1-2 dní od vydania certifikátu a po doručení tokenu môžete okamžite začať podpisovať. Budete k tomu potrebovať iba heslo, ktoré vám bezpečne dodáme.
Nemusíte sa zmeny báť, podpisovanie zostane jednoduché
Samotný spôsob podpisovania sa s tokenom prakticky nemení. Iba sa budete namiesto PFX súboru či úložiska odkazovať na úložisko tokenu. Certifikát je síce uložený na tokene, ale vďaka aplikácii Safenet je "vidieť" v úložisku certifikátov systému rovnako, ako by tam fyzicky bol. Podpisovanie teda nebude nijako zložitejšie.
Nižšie vidíte príklad, ako sa volá certifikát na tokene (podpisovanie prebieha pomocou nástroja signtool z Windows SDK). Namiesto súboru odkazujete pomocou parametra /s na úložisko:
signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:pracetest.exe
Podepisovanie zostáva stále jednoduché. Ak pre podpis vyberáte certifikát zo zoznamu (dialóg systému), tak tam bude certifikát na tokene tiež vidieť.
Čo robiť, keď nechcem token?
Môžete mať rôzne dôvody, prečo nechcieť certifikát na tokene. Najčastejší scenár je podpisovanie aplikácie viacerí vývojári v tíme, ktorí by mali mať certifikáty svoje, alebo si token požičiavať. To je pomerne nepraktické, riešenie ale existujú. Uveďme aspoň dva príklady za všetky.
Jednou z možností je kúpa HSM a bezpečné uloženie tokenu na tomto hardvérovom prostriedku. To však so sebou nesie nemalú investíciu, ktorá môže byť v tisícoch dolárov. Moderným spôsobom riešenia tohto problému je podpisovanie pomocou bezpečného cloudu certifikačnej autority. Takúto službu ponúka platforma DigiCert ONE a nazýva sa Software Trust Manager.