增强型 EV 代码签名证书

GlobalSign 增强型代码签名证书特性:

EV代码签名证书 结合了常规代码签名的所有优点以及其他功能,包括:

  • 在证书中显示的公司地址和组织类型

  • 时间戳,一旦证书过期,签名不会过期

  • 存储在硬件令牌上的证书用于双因素认证

  • 与Microsoft SmartScreen建立即时信誉

  • 需要访问Windows硬件开发中心的门户网站

  • 使用单一证书可以无限数量的给应用程序进行数字签名

  • GlobalSign卓越的技术支持

  • 与主要平台(Authenticode,Office VBA,Java,Adobe AIR,Mac OS,Mozilla)兼容

解决弱核查和密钥保护

EV代码签名解决了恶意软件开发人员利用这两种最常用的漏洞来传播恶意代码 - 身份验证过程薄弱,私钥保护不力。

严格的审核流程 - EV代码签名证书的申请人通过比常规代码签名证书更严格的申请流程。除了验证出版商的组织名称之外,还会审查其他公司信息,如实际地址和管辖权。这个彻底的验证过程使得恶意软件开发者难以冒充并获得代码签名凭证,用于以合法开发公司的幌子签名恶意软件。









存储在USB令牌上的证书 - 与开发人员机器上本地的常规代码签名证书不同,所有GlobalSign代码签名证书都存储在加密令牌中。这使得恶意方更难复制或窃取私钥,并使用它来根据实际的证书持有者的身份签署恶意软件。









 

与Microsoft SmartScreen建立即时信誉

 

Microsoft SmartScreen使用有关应用程序声誉的信息来警告最终用户,如果应用程序不是“知名的”,可能是恶意的。 从Internet Explorer 9.0和Windows 8开始,使用EV代码签名证书签署的应用程序立即建立声誉,因此不会向下载器发出警告。


     

    Windows 8 SmartScreen 警告示例

 

IE9 SmartScreen 警告示例

常见问题

代码签名证书使用什么样的硬件令牌?

它们是Safenet USB eTokens,通常是5100型号。

令牌安全标准是否与HSM相当?

标记符合FIPS 140-2 III级标准,大多数HSM也是如此。令牌是受密码保护的,您可以在令牌自动锁定和删除内容之前设置失败的密码尝试次数。

你可以使令牌上的私钥导出吗?

默认情况下,私钥不能从USB令牌导出。此选项不可更改。

可以使用HSM而不是令牌吗?

目前,我们不提供将EV代码签名证书安装在HSM上的选项,尽管计划在将来添加此功能。

我可以使用什么工具来签名?

在大多数情况下,您可以利用标准实用程序(如signtool和jarsigner)来签署应用程序和驱动程序。一些客户已经开发出了符合自己需求的脚本,并使签名过程自动化。

您是否支持Microsoft Windows SDK“Signtool.exe”?

是。 Signtool.exe将使用我们的标准代码签名证书以及EV代码签名。

可以使用相同的证书(如Java)签署多个平台吗?

GlobalSign的EV代码签名证书可用于签署jar文件以及驱动程序和可执行文件。与Java可执行文件和驱动程序相比,Java的签名过程有一点更多的参与,但是我们将这两种情况都记录在案。

使用EV代码签名,证书存储在某种硬件模块上是必需的,所以交付方式相同,因此我们不会将平台与EV区分开来。只要您用于签名的工具可以访问令牌或Windows证书商店*,就可以使用该代码签名证书。

*插入USB令牌后,私钥将保留在令牌上,公钥将被复制到Windows证书存储库,使其可供其他应用使用。如果像Signtool或Visual Studio这样的应用程序可以看到证书库,那么应该像令牌一样看到证书上的证书,就像任何其他证书一样。唯一的区别是,当您签收时,系统将提示您输入令牌密码。 Java jarsigner没有看到Windows证书库,因此您必须手动指定令牌的路径。

Next Steps

请联系 GlobalSign 数字证书销售团队