Code Signing kódaláíró tanúsítványok tokenen? Használja ki ajánlatunkat az ingyenes tokenért
2023. máj. 11. | Pataki Tamás
(2023.5.4.) A Code Signing kódaláíró tanúsítványok kötelezően tokenre kerülnek; többé nem lehet őket PFX-ben tárolni. A tokenekre való áttért a lehető legjobban szeretnénk megkönnyíteni az Önök számára, ezért a többéves megrendelések esetében a tokent ingyenesen, előre elkészítve küldjük el azt.
Mikortól érvényes a változás?
2023. május 16-tól minden Code Signing tanúsítványt biztonságos tárolóra kell kiállítani - ugyanúgy ahogy a Code Signing EV kódaláíró tanúsítvány esetében. A tanúsítványtároló tokennek meg kell felelnie a FIPS 140-2 2. szintű vagy a Common Criteria EAL 4+ követelményeknek. Ez a változás az egész iparágra és az összes hitelesítő hatóságra vonatkozik. A globálisan elfogadott irányelvek értelmében mindenkinek el kell fogadnia és be kell tartani ezen a szabályozásokat.
A Code Signing tanúsítványok minden tulajdonosának és felhasználójának rendelkeznie kell a tanúsítványával a tokenen, ami eddig csak a Code Signing EV tanúsítványok kiváltsága és előnye volt.
Többéves megrendelés esetén ajándék tokent kap
Ezt a problémát ügyfeleink számára a legkényelmesebb módon oldottuk meg - a már telepített tanúsítvánnyal ellátott tokent szállítunk nekik. Ha 2 vagy 3 évre szóló Code Signing tanúsítványt rendel, a 120 dollárt érő tokent ingyen kapja.
Javasoljuk, hogy vásároljon több évre szóló Code Signing tanúsítványt, és használja ki az ajánlatot, hogy ingyenes tokenért. Így problémamentesen és több évre előre kiválthatja tanúsítványát. Később a tanúsítvány meghosszabbításakor szintén használhatja a tőlünk kapott tokent.
A tokent a tanúsítvány kiállítását követő 1-2 napon belül megkapja tőlünk, és azonnal elkezdheti vele az aláírást. Csak egy jelszóra lesz szüksége, amelyet biztonságosan továbbítunk Önnek.
Nem kell aggódni a változás miatt, az aláírás egyszerű marad
Maga az aláírási módszer gyakorlatilag változatlan a tokennel. A PFX fájl vagy tároló helyett csak a token tárolóra fog hivatkozni. Bár a tanúsítványt a token tárolja, a Safenetnek köszönhetően a rendszer tanúsítványtárolójában ugyanúgy "látható", mintha fizikailag ott lenne. Az aláírás ezért nem lesz bonyolultabb.
Alább egy példát láthatunk arra, hogyan hívhatunk tanúsítványt egy tokenre (az aláírás a Windows SDK signtool eszközével történik). A fájl helyett az /s paraméterrel hivatkozunk a tárolóra:
signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:pracetest.exe
Az aláírás továbbra is egyszerű. Amint kiválasztja a listából (rendszer párbeszédpanel), a tokenen lévő tanúsítvány azonnal láthatóvá válik.
Mit tegyek, ha nem akarok tokent?
Számos okai lehetnek annak, hogy valaki miért ne akarná az aláírást a túsítványt egy tokenen tárolni. A leggyakoribb forgatókönyv az, hogy a csapatban több fejlesztő is aláírja az alkalmazást, így vagy saját tanúsítványokkal kellene rendelkeznek, vagy egymástól kellene kölcsönvenniük a tokent. Ezt néha elég problémés kivitelezni, de léteznek megoldások. Uveďme alespoň dva příklady za všechny.
Az egyik lehetőség egy HSM megvásárlása és a token biztonságos tárolása ezen a hardveres erőforráson. Ez azonban jelentős, akár több ezer dolláros beruházással jár. A probléma megoldásának korszerű módja a biztonságos felhő CA használatával történő aláírás. Ilyen szolgáltatást a DigiCert ONE platform kínál, és Software Trust Manager néven fut..
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu