什么是代码签名证书?
代码签名证书包含完全标识实体的信息,由证书颁发机构所签发,如GlobalSign。数字证书将组织身份绑定在公钥中,从数学角度出发,与该公钥对应的密钥是私钥。私钥、公钥系统的使用称之为Public Key Infrastructure,PKI。开发者使用私钥为其代码签名,使用者使用开发者的公钥验证开发者的身份。了解更多关于未签名的代码与签名代码之间的区别
GlobalSign允许在物理 HSM 或基于云的 HSM 服务上安装标准和 EV 代码签名证书,例如: Azure Key-Vault, AWS CloudHSM, Google KMS,HashiCorp Vault 等。
备注:- CAB 论坛 新指南称,从 2023 年 6 月起,代码签名证书的私钥需要存储在符合 FIPS 140 2 级或 3 级的 HSM 中。
有关这些部署选项的更多信息,请与我们联系
备注:USB Token不包含在HSM或者Azure Key Vault部署选项中。
支持多个平台
GlobalSign代码签名证书支持多个平台使用相同的证书。
- MS Authenticode
- Adobe AIR
- Apple
- Mozilla & Netscape Objects
- 宏程序& VBA
- Java
- Microsoft SignTool
- Visual Studio
您可以使用 GlobalSign 的代码签名证书对Windows 版本, 容器镜像, 内核驱动程序,Jar文件和各种其他用例进行签名。
代码签名是适用于软件供应商和开发组织
GlobalSign的代码签名证书被开发者用于在所有平台上为应用程序或软件进行数字签名;随后,这些应用程序或软件会被发布在互联网中。代码签名提供了本质的保证,使签完名的代码犹如压缩包装的CD一样,签名中包含发布者的名字以及代码自从发布以来未被篡改的保证。任何人下载完毕后,可以选择是否信任该软件。
代码签名证书使用独一无二的密码哈希值(Hash值)将发布者的身份与软件绑定在一起。未签名的代码会出现安全警告,然而取而代之的是,签过名的代码在未签名出现报警的位置通知提示包含软件发布者身份的信息,防止使用者放弃安装该软件,同时提升下载率。签过名的代码为安装过程添加了一层可信度。
代码签名证明了签过名的软件是合法的,来源于一个已知的软件供应商,且代码从发布之后未被篡改过。代码签名防止用户由于安全警告信息、合法代码的恶意更改、供应商作者的身份盗用而放弃应用程序的安装。
EV代码签名证书 VS 标准代码签名证书
EV代码签名证书建立在标准代码签名证书的优势之上,提供了更高级别的保证:发布者的身份是正确的,并经过核实。
- 严苛的审核流程向终端用户确保代码发布者的身份已被核实
- 访问 Windows 硬件开发人员中心仪表板门户需要 EV 代码签名证书,必须通过该门户对面向 Windows 10(内部版本 1607 及更高版本)的所有内核模式驱动程序进行签名