1. Főoldal
  2. Támogatás
  3. Code Signing tanúsítványok
  4. Kódaláírási központ - alkalmazások aláírásának támogatása
{"copy":"M\u00e1sol\u00e1s","expand":"R\u00e9szletek megjelen\u00edt\u00e9se","collapse":"Bez\u00e1r\u00e1s","copy_success":"M\u00e1solva!","copy_error":"Sikertelen m\u00e1sol\u00e1s!"}

Code Signing központ - alkalmazások aláírásának támogatása

Code Signing tanúsítványok (kód- és alkalmazás-aláírási tanúsítványok) ügyfélszolgálati központja. Itt megtalálja az összes releváns információt a kód aláírásával és a Code Signing tanúsítványok használatával kapcsolatban.

Code signing tanúsítványok

Kód aláírási tanúsítványok (Code signing) különböző fejlesztői platformokon létrehozott alkalmazások aláírására szolgálnak. A kód aláírásának célja nemcsak a kiadó hitelesítése, hanem elsősorban az alkalmazás hitelességének és változatlanságának védelme. Ha valaki megváltoztatná az alkalmazást (például malware-t adna hozzá), az aláírás érvénytelenné válik. Ezért a legtöbb mai rendszer vagy az alkalmazás aláírását követeli meg (MacOS), vagy erősen figyelmeztet az aláíratlan alkalmazások futtatása előtt (Windows).

Code signing EV tanúsítvány

A kód aláírására vonatkozó tanúsítványok esetében is kínáljuk a kibővített ellenőrzésű tanúsítványt. Előnyeit és aktiválásának módját a következő bekezdésekben találja.

A Code signing EV tanúsítvány jelentősége

Jelentősége a tanúsítvány és a privát kulcs biztonságának növelése. A tanúsítvány a privát kulccsal együtt tokenen van tárolva, és nem exportálható. A tanúsítvány használata jelszóval van védve, és több hibás kísérlet után a token törlődik. Ez kiváló védelmet nyújt az Ön code signing tanúsítványának a visszaéléssel szemben. A Code Signing EV tanúsítvány másik fontos előnye az abszolút megbízhatóság a Windowsban található Smartscreen szűrőben. Az EV aláírásnak köszönhetően biztos lehet benne, hogy a Windows nem blokkolja az Ön alkalmazását a felhasználóknak.

További információk a Code Signing tanúsítványról kínálatunkban a DigiCert Code Signing EV termékoldalon találhatók.

Hogyan szerezhető meg és aktiválható a Code Signing EV tanúsítvány

A Code Signing EV tanúsítvány megszerzésének és aktiválásának teljes folyamata cikkben található A Code Signing EV tanúsítvány elindítása (aktiválása).

Hogyan írjunk alá szoftvert digitális tanúsítvánnyal

A Code Signing alkalmazások aláírásához két dolog szükséges:

  • Code Signing tanúsítvány
  • Aláírási alkalmazás

A Code Signing tanúsítványt az SSLmarket biztosítja Önnek, ami egyszerű. Az aláíró alkalmazást a platform alapján választja ki, amin fejleszt. Az általunk ismertetett és támogatott népszerű és legelterjedtebb aláíró eszközök a következők:

  • Signtool a Windows SDK-ból (útmutató)
  • Jarsigner (lásd cikk a blogon).
  • Smctl eszköz a DigiCert-től - javasoljuk a KeyLockerhez (útmutató). Képes például használni a signtool-t, és megkönnyíti az aláírást.

Ügyfeleink többsége a MS Windows környezetében fejleszt és a Windows SDK-t használja. Az aláírás akkor a signtool.exe eszközzel történik. A signtool dokumentációját a SignTool.exe (Sign Tool) oldalon találja a Microsoft weboldalán.

Aláírás felhő alapú HSM-mel

A felhő alapú HSM a Code Signing tanúsítvány biztonságos tárolására és távoli hozzáférésére szolgál. A tanúsítvány tokon történő tárolásával ellentétben lehetővé teszi az automatizálást, és az aláírás rendkívül gyors, mivel csak a fájl hash-jét küldi el a felhőbe (ún. hash aláírás).

A hash aláírás és a felhő használatát határozottan javasoljuk a tok helyett. Biztonságos, gyors és olcsó.

Ajánlott felhőalapú HSM-ek

  • DigiCert KeyLocker
  • DigiCert Software Trust Manager
  • Azure Key Vault
  • GCP Cloud KMS (Google)
  • AWS CloudHSM

A következő bekezdésekben megtalálja az egyes megoldások előnyeit és hátrányait.

DigiCert KeyLocker

A legolcsóbb alternatíva a tokenhez a KeyLocker. Ez egy egyszerű, egy felhasználóra szabott szolgáltatás, amely lehetővé teszi a kód egyszerű aláírását. A DigiCert saját KSP és PKCS#11 könyvtárakat biztosít, amelyeket telepíthet a rendszerre, és a kódot ugyanúgy írja alá, mint ahogy megszokta. Az SMCTL eszközükkel az aláírás még egyszerűbb és egyenesebb, mint a signtool-lal. Az SMCTL kompatibilis a leggyakrabban használt Code Signing eszközökkel, és képes őket meghívni. A KeyLocker 1000 aláírásra van korlátozva, ezért ritkább aláírásokra alkalmas. Az aláírások számát azonban felár ellenében bővíteni lehet.

DigiCert Software Trust Manager

Ez a DigiCert ONE platform csúcstechnológiás felhőmegoldása, amely vállalati használatra készült. Korlátlan számú tanúsítványt és felhasználót lehet vele kezelni, és korlátlan mértékben skálázható. Az Ön CI/CD platformjával való összekapcsolást előkészített szkriptek és könyvtárak biztosítják. Az STM-hez való hozzáférés és az aláírások száma licencelve van. További információért árakról és licencelési lehetőségekről vegye fel velünk a kapcsolatot. A dokumentációt megtalálja a DigiCert weboldalán: webu DigiCertu.

Cloud HSM az Azure és Google-tól

A két nagy felhőszolgáltató HSM szolgáltatást kínál biztonságos távoli hozzáféréssel saját könyvtárain keresztül, amelyek úgy működnek, mint a KSP a Windows rendszerben. Használatuk nem bonyolult, és mindkettő ára nagyon kedvező (csak a kripto műveletekért fizet). Az Azure és a GCP nagy mennyiségű éves aláírásra javasolt, mivel a költségek alacsonyak.

Kód aláírására vonatkozó útmutatás az Azure Key Vault-tal az alábbi cikkben található: Kód aláírása Azure Key Vault-tal. Az GCP Cloud KMS esetében pedig a cikkben: Kód aláírása Google Cloud KMS-sel.

AWS CloudHSM

Az Amazon esetében is alá lehet írni felhő segítségével a Windows SDK Signtool segítségével, azonban a létrehozott HSM órás díjszabású. A fix költségek mellett műveletek díja (aláírások) is van. Ha még nem használja az AWS-t, inkább az Azure vagy GCP HSM szükséges lehet. További információ a használatáról a Signtool segítségével címmel: Use Microsoft SignTool with Client SDK 3 to sign files.

Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM összehasonlítás

A három felhő HSM összehasonlítását a következő táblázatban találja. A hangsúlyt a aláírási műveletek költségeire (hash signing), fix díjakra, skálázásra, alacsony kihasználtságra, üzemeltetési összetettségre és késleltetésre/átviteli sebességre helyezték.

Faktor Azure Key Vault Google Cloud KMS AWS CloudHSM / KMS + HSM
Műveletekért felszámított díjak (sign/verify) Nagyon alacsony (≈ $/10 000 művelet). Nagyon alacsony (≈ $/10 000 művelet). Nem kulcsfontosságú költség; a fő költségek a fix díjak a HSM-ért.
Fix költségek Lehet havi díj a HSM-kulcsért; egyébként alacsony. Nincsenek kifejezett fix költségek az alapvető módban. Magas – óránként HSM bérleti díj (24/7) vagy egyéni kulcs tárhely.
Skálázás és kapacitás Lineáris tranzakciók szerint; korlátozás. Lineáris; figyelembe kell venni a kvótákat (QPS/QPM). Skálázás HSM-ek hozzáadásával; növekszik a fix költség is.
Alacsony kihasználtságú költség Kedvező — főleg a műveletekért fizetnek. Kedvező — főleg a műveletekért fizetnek. Hátrányos — HSM-et is kell fizetni terhelés nélkül is.
Üzemeltetési összetettség Alacsony — kezelt szolgáltatás. Alacsony — kezelt szolgáltatás. Magasabb — HSM klaszter, HA/DR kezelése.

Kapcsolatfelvétel

Nem lesz egyedül, ha bármilyen lépés során kérdése van a tanúsítvány megrendelésével, kiadásával vagy telepítésével vagy bármilyen kérdéssel kapcsolatban, ne habozzon kapcsolatba lépni a ügyfélszolgálatával, amely tanácsot és segítséget nyújt. A DigiCert Security Sales Expert Plus tanúsítvánnyal rendelkező specialistáink a hét minden munkanapján a szokásos munkaidőben rendelkezésre állnak.

Kapcsolatba léphet velünk közvetlenül az ügyfélszámlájáról is, az menüből küldött Autorizált igény küldésével.

GYIK - gyakran feltett kérdések

Nem. A Code Signing nem domainhez, hanem konkrét szervezethez van kiadva. A szervezet neve szerepel a Közös névben.

A DigiCert Code Signing tanúsítvánnyal különböző típusú szoftvert és szkripteket lehet aláírni, hogy biztosítva legyen, hogy megbízható forrásból származnak, és a kiadás után nem változtak meg.

✅ Mit lehet aláírni:

  • Futtatható fájlok: .exe, .dll, .ocx, .msi, .cab
  • Windows illesztőprogramok (WHLK/HLK)
  • Java alkalmazások: .jar
  • Makrók és VBA szkriptek a Microsoft Office-ban
  • PowerShell szkriptek: .ps1
  • macOS alkalmazások és csomagok (az Apple Developer ID által)
  • Adobe AIR alkalmazások
  • .NET alkalmazások és könyvtárak
  • Skriptek és telepítők különböző környezetekben

⚠️ Mit nem lehet aláírni:

  • Az eIDAS szerinti minősített elektronikus aláírást igénylő kód
  • Olyan fájlok, amelyek nem terjesztésre készülnek
  • Formátumok és platformok, amelyek nem támogatják a digitális aláírást

Igen, az időbélyeggel (timestamp) ellátott kód érvényes marad a tanúsítvány lejárta után is. Ha aláíráskor időbélyeget használ (timestamp), a rendszer ellenőrzi, hogy a kód aláírása a tanúsítvány érvényességi ideje alatt történt-e. Ennek köszönhetően az aláírás továbbra is megbízható. Időbélyeg nélkül új tanúsítvánnyal kell újra aláírni a kódot.

További információkért lásd a DigiCert.com-on található útmutatást a VBA kód időbélyeggel történő aláírásához.

Nem, a tanúsítvánnyal korlátlan számú alkalmazást írhat alá. Amikor a Code Signing tanúsítvány tokon van, korlátlan mennyiségben alá tud írni. Az aláírások számát csak a felhő alapú szolgáltatásokban mérik figyelembe:

  • DigiCert KeyLocker - a tanúsítvány érvényességi ideje alatt 1000 aláírás van benne, továbbiakat vásárolhat.
  • Software Trust Manager - az aláírások a szerződés idejére licencelve vannak.

A Code Signing tanúsítvánnyal történő aláírás egyszerű és gyors. Az ún. hash alapú aláírást használja, amikor a fájl hash-je először kiszámításra kerül, majd a felhőbe kerül aláírásra. Maga a fájl sehova nem kerül át, csak az aláírt hash visszaküldésére kerül sor - így a teljes folyamat biztonságos és hatékony.

A hash alapú aláírás felhasználható az alábbi termékeknél:

  • DigiCert KeyLocker - további információkat itt talál.
  • Software Trust Manager - további információkat itt talál.
  • Egy alternatíva a tanúsítvány elhelyezése például az Azure Key Vaultban; további információk az útmutatóban.

Hasznos volt Önnek ez a cikk?