Alle Code Signing Zertifikate auf einem Token? Bei SSLmarket mit kostenlosem Token und unbesorgt

19.05.2023 | Petra Alm

Auch die Code Signing Zertifikate mit der Validierung der Organisation müssen neu auf einem Token oder HSM ausgestellt werden. Es ist nicht mehr möglich, sie lokal im Rechner gespeichert zu haben, zum Beispiel in dem beliebten Format der PFX-Datei. Den Übergang auf das Token möchten wir unseren Kunden so weit wie möglich vereinfachen. Deshalb erwerben sie bei uns das Token bei mehrjährigen Bestellungen kostenlos und bei allen Bestellungen bereiten wir ihnen das Zertifikat auf das Token im Voraus vor.

Was ändert sich und ab wann?

Seit dem 16. 5. 2023 müssen alle Code Signing Zertifikate auf einem sicheren Datenspeicher ausgestellt werden – gleich wie bisher nur die Code Signing EV Zertifikate. Der Datenspeicher, den man nutzen kann, ist ein Token oder HSM. Das Token muss die Zertifizierung FIPS 140-2 Level oder Common Criteria EAL 4+ erfüllen. Diese Änderung bezieht sich auf die ganze Branche, deshalb auch auf alle Zertifizierungsstellen. Die neuen Regeln müssen alle beachten und einhalten.

Alle Inhaber und Nutzer der Code Signing Zertifikate müssen also ihr Zertifikat neu auf einem Token gespeichert haben, was bisher nur ein Vorteil und Vorrecht der Code Signing EV Zertifikate war.

Bei einer mehrjährigen Bestellung erwerben Sie das Token kostenlos

Unseren Kunden bringen wir die komfortabelste Lösung – das Zertifikat werden wir Ihnen schon auf dem Token installiert liefern. Und bei einer zwei- oder dreijährigen Bestellung des Code Signing Zertifikats bekommen Sie von uns das Token im Wert von 120 USD kostenlos.

Wir empfehlen Ihnen deshalb, das Code Signing Zertifikat für mehrere Jahre zu kaufen und das Angebot des kostenlosen Tokens zu nutzen. Somit können Sie Ihr Signieren von Codes sorgenlos und für mehrere Jahre im Voraus lösen. Verlängern werden Sie das Zertifikat wieder mit dem Token können, welches Sie von uns bereits haben.

Das Token bekommen Sie von uns innerhalb von 1-2 Tagen nach der Ausstellung des Zertifikats und gleich danach können Sie mit dem Signieren beginnen. Sie werden dazu nur das Passwort benötigen, welches wir Ihnen sicher liefern werden.

Fürchten Sie die Änderung nicht, das Signieren bleibt einfach

Mit dem Token werden Sie gleich wie bisher signieren können. Nur werden Sie auf den Speicherort des Tokens verweisen müssen, statt auf eine PFX-Datei oder einen Zertifikatsspeicher. Das Zertifikat ist zwar auf dem Token gespeichert, aber dank der Applikation Safenet ist es in dem Zertifikatsspeicher des Systems zu sehen, als ob es da physisch vorhanden wäre. Das Signieren wird somit nicht komplizierter.

Unten sehen Sie ein Beispiel, wie das Zertifikat auf dem Token aufgerufen wird (das Signieren erfolgt mit dem Tool Signtool aus Windows SDK). Anstatt auf die Datei verweisen Sie mit dem Parameter /s auf den Speicherort: signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:/test.exe

Das Signieren bleibt auch weiterhin einfach. Falls Sie für die Signatur ein Zertifikat aus der Liste wählen (Dialog des Systems), wird hier das auf dem Token gespeicherte Zertifikat zum Sehen sein.

Was ist zu tun, wenn ich das Token nicht will?

Sie können verschiedene Gründe haben, warum Sie das Zertifikat auf dem Token nicht haben möchten. Die häufigste Ursache ist das Signieren der Applikationen von mehreren Entwicklern im Team. Jeder von ihnen sollte ein eigenes Zertifikat haben, oder sie müssen das Token untereinander austauschen. Beides ist ziemlich unpraktisch, aber es gibt Lösungen. Führen wir zumindest zwei Beispiele für alle an.

Eine der Lösungen ist es, ein HSM zu kaufen und das Zertifikat auf diese Hardware zu speichern. Dies bringt aber eine nicht kleine Geldausgabe mit sich, die auch Tausende Dollar erreichen kann. Eine moderne Lösung besteht somit im Signieren mittels einer sicheren Cloud der Zertifizierungsstelle. Diesen Dienst bietet die Plattform DigiCert ONE unter dem Namen Software Trust Manager.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de