Zbavte se tokenu a začněte podepisovat v cloudu

9. 2. 2024 | Jindřich Zechmeister

Všichni zákazníci využívající Code Signing certifikáty dobře ví, že jejich získání a uložení je možné pouze na token či HSM. Nyní konečně přichází úleva a možnost zbavit se tokenu navždy; zároveň nemusíte investovat do drahého hardwarového HSM. Jako třešnička na dortu je možnost automatizace podepisování

KeyLocker znamená revoluci v podepisování

Dosud bylo podepisování pomocí cloudu a metody hash-signing výsadou DigiCert ONE a Software Trust Manager. Tato služba je ale pro většinu zákazníků pomyslným "kanónem na vrabce", protože nabízí zbytečně mnoho možností. Její získání je komplikovanější, protože potřebujete odhadnout počet podpisů na rok a tento počet licencovat. V neposlední řadě není DigiCert ONE cenově dostupný každému.

O to větší smysl dává jednoduchá, ale robustní služba, kterou získáte automaticky k zakoupenému certifikátu a nemusíte nic řešit. Po vydání certifikátu můžete hned podepisovat. Přivítejte DigiCert KeyLocker, který vám nově přinášíme.

KeyLocker vám přináší:

• Úložiště, které je certifikováno dle standardu FIPS 140-2 Level 3
• Generování klíčů, ochrana klíčů a podepisování bez čekání na dodání tokenu.
• Cloudová služba, která umožňuje podepisovat vzdáleně či sdílet certifikát s kolegy pracujícími jinde..
• Bezešvá integrace se známými CI/CD pipelines.
• Každý KeyLocker vám umožňuje vygenerovat až 1,000 signatures během platnosti certifikátu. Tento limit je možné zvýšit zakoupením dalších jednotek.

Způsob podepisování se pro vás nemění a zůstává úplně stejný. Není tedy důvod setrvávat u zastaralého tokenu a podepisovat vše ručně.

Konečně můžete podepisování automatizovat

Tak jako se TLS certifikáty používají na každém webu, tak i každý vývojář softwaru podepisuje své dílo, aby ho mohl zveřejnit a aplikace byly pro zákazníky důvěryhodné. V dnešní době ve firmách převládá agilní vývoj, kdy vývojáři doručují zákazníkovi produktu denně nové aktualizace a funkčnost. Proto je důležité všechny výstupy automaticky podepsat a zaručit tak nejen jejich původ, ale také neměnnost (integritu) a tím pádem i důvěryhodnost.

S certifikátem uloženým na tokenu není automatizace podepisování možná, protože při každém podpisu je potřeba zadat heslo k tokenu. Ten navíc musíte mít fyzicky k dispozici, podepisování přes vzdálenou plochu nefunguje. Tokeny už dlouho přidělávají vrásky všem tvůrcům softwaru, které primárně zdržují.

Podepisování pomocí KeyLockeru lze naopak napojit na vaše stávající CI/CD pipeline a plně automatizovat. DigiCert připravil pluginy pro hlavní platformy - Azure DevOps, GitHub a Jenkins. Více informací najdete na stránce o pluginech; k dispozici jsou také integrační skripty. Pokud se u velkých aplikací obáváte zvýšených přenosů dat po síti, tak nemusíte; aplikace neputuje k DigiCertu po síti celá, ale pouze její hash (otisk). Díky tomu je podepisování rychlé.

Získejte KeyLocker spolu s certifikátem

Získání KeyLockeru je snadné - stačí při objednávání Code Signing certifikátu zvolit KeyLocker jako umístění certifikátu (provisioning). Po zažádání certifikátu obdržíte automaticky pozvánku do nového KeyLocker účtu v DigiCert ONE. Po dokončení objednávky a vydání certifikátu už ale nedostanete token, ale certifikát najdete ve službě KeyLocker. Certifikát máte tedy k dispozici hned po vydání a nemusíte čekat na dodání tokenu. Nic vás nebude brzdit v podepisování.

Jako společník v prvních krocích s novou službou vám poslouží článek Podepisování pomocí KeyLocker cloud HSM, který vám pomůže i se samotným podepisováním.

Nové éra digitálního podepisování kódu je zde, proto neváhejte a přidejte se ke spokojeným uživatelům KeyLockeru.

Další zdroje a informace:

1. Dokumentace služby KeyLocker, dostupné na https://docs.digicert.com/en/digicert-keylocker.html
2. Článek nápovědy o podepisování KeyLockerem, dostupné na Podepisování pomocí KeyLocker cloud HSM