Zbavte se tokenu a začněte podepisovat v cloudu
9.2.2024 | Jindřich Zechmeister
Všichni zákazníci využívající Code Signing certifikáty dobře ví, že jejich získání a uložení je možné pouze na token či HSM. Nyní konečně přichází úleva a možnost zbavit se tokenu navždy; zároveň nemusíte investovat do drahého hardwarového HSM. Jako třešnička na dortu je možnost automatizace podepisování
KeyLocker znamená revoluci v podepisování
Dosud bylo podepisování pomocí cloudu a metody hash-signing výsadou DigiCert ONE a Software Trust Manager. Tato služba je ale pro většinu zákazníků pomyslným "kanónem na vrabce", protože nabízí zbytečně mnoho možností. Její získání je komplikovanější, protože potřebujete odhadnout počet podpisů na rok a tento počet licencovat. V neposlední řadě není DigiCert ONE cenově dostupný každému.
O to větší smysl dává jednoduchá, ale robustní služba, kterou získáte automaticky k zakoupenému certifikátu a nemusíte nic řešit. Po vydání certifikátu můžete hned podepisovat. Přivítejte DigiCert KeyLocker, který vám nově přinášíme.
KeyLocker vám přináší:
- Úložiště, které je certifikováno dle standardu FIPS 140-2 Level 3
- Generování klíčů, ochrana klíčů a podepisování bez čekání na dodání tokenu.
- Cloudová služba, která umožňuje podepisovat vzdáleně či sdílet certifikát s kolegy pracujícími jinde..
- Bezešvá integrace se známými CI/CD pipelines.
- Každý KeyLocker vám umožňuje vygenerovat až 1,000 signatures během platnosti certifikátu. Tento limit je možné zvýšit zakoupením dalších jednotek.
Způsob podepisování se pro vás nemění a zůstává úplně stejný. Není tedy důvod setrvávat u zastaralého tokenu a podepisovat vše ručně.
Konečně můžete podepisování automatizovat
Tak jako se TLS certifikáty používají na každém webu, tak i každý vývojář softwaru podepisuje své dílo, aby ho mohl zveřejnit a aplikace byly pro zákazníky důvěryhodné. V dnešní době ve firmách převládá agilní vývoj, kdy vývojáři doručují zákazníkovi produktu denně nové aktualizace a funkčnost. Proto je důležité všechny výstupy automaticky podepsat a zaručit tak nejen jejich původ, ale také neměnnost (integritu) a tím pádem i důvěryhodnost.
S certifikátem uloženým na tokenu není automatizace podepisování možná, protože při každém podpisu je potřeba zadat heslo k tokenu. Ten navíc musíte mít fyzicky k dispozici, podepisování přes vzdálenou plochu nefunguje. Tokeny už dlouho přidělávají vrásky všem tvůrcům softwaru, které primárně zdržují.
Podepisování pomocí KeyLockeru lze naopak napojit na vaše stávající CI/CD pipeline a plně automatizovat. DigiCert připravil pluginy pro hlavní platformy - Azure DevOps, GitHub a Jenkins. Více informací najdete na stránce o pluginech; k dispozici jsou také integrační skripty. Pokud se u velkých aplikací obáváte zvýšených přenosů dat po síti, tak nemusíte; aplikace neputuje k DigiCertu po síti celá, ale pouze její hash (otisk). Díky tomu je podepisování rychlé.
Získejte KeyLocker spolu s certifikátem
Získání KeyLockeru je snadné - stačí při objednávání Code Signing certifikátu zvolit KeyLocker jako umístění certifikátu (provisioning). Po zažádání certifikátu obdržíte automaticky pozvánku do nového KeyLocker účtu v DigiCert ONE. Po dokončení objednávky a vydání certifikátu už ale nedostanete token, ale certifikát najdete ve službě KeyLocker. Certifikát máte tedy k dispozici hned po vydání a nemusíte čekat na dodání tokenu. Nic vás nebude brzdit v podepisování.
Jako společník v prvních krocích s novou službou vám poslouží článek Podepisování pomocí KeyLocker cloud HSM, který vám pomůže i se samotným podepisováním.
Nové éra digitálního podepisování kódu je zde, proto neváhejte a přidejte se ke spokojeným uživatelům KeyLockeru.
Další zdroje a informace:
- Dokumentace služby KeyLocker, dostupné na https://docs.digicert.com/en/digicert-keylocker.html
- Článek nápovědy o podepisování KeyLockerem, dostupné na Podepisování pomocí KeyLocker cloud HSM
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz