Code Signing-certifikat til Azure Key Vault
Signér EXE, DLL, MSIX, PowerShell og NuGet-pakker direkte fra Azure Key Vault. Ingen USB-token nødvendig. AzureSignTool erstatter signtool.exe og autentificerer til din Key Vault, hvor din private nøgle opbevares på en FIPS 140-2 Level 3 HSM. Nøglen forlader aldrig HSM'en.
Azure Key Vault Premium koster ca. 35 kr./måned med næsten ubegrænsede signeringer. Det er markant billigere end CA-hostede cloud-signeringstjenester som DigiCert KeyLocker (ca. 2.250 kr./år + signeringsbegrænsninger oven i certifikatprisen).
Hvad er Azure Key Vault Code Signing?
Azure Key Vault er Microsofts cloudbaserede nøglehåndteringstjeneste. I Premium-niveauet opbevares nøgler på FIPS 140-2 Level 3-certificeret HSM-hardware. Den private nøgle genereres inde i HSM'en og forlader den aldrig. Alle signeringsoperationer foregår på selve HSM'en.
AzureSignTool ↗ er en gratis, open source-erstatning for signtool.exe, der autentificerer til Azure Key Vault via en service principal eller managed identity. Det understøtter Authenticode-signering af alle standard Windows-filtyper.
Siden juni 2023 kræver alle Code Signing-certifikater (OV og EV) HSM-backed nøgleopbevaring. Azure Key Vault
opfylder dette krav. Software-only .pfx-filer er ikke længere tilladt af nogen Certificate Authority.
OV vs EV Code Signing med Azure Key Vault
| OV Code Signing | EV Code Signing | |
|---|---|---|
| Validering | Organisation | Extended (strengere) |
| SmartScreen-omdømme | Opbygges over tid med downloads | Starter med højere omdømme |
| Kernel-mode driversignering | Nej | Ja (krævet af Microsoft) |
| Azure Key Vault | Premium-niveau (RSA-HSM-nøgler) | Premium-niveau (RSA-HSM-nøgler) |
| Udstedelsestid | 1–3 hverdage | 1–5 hverdage |
| Maksimal gyldighed | 459 dage | 459 dage |
Azure Trusted Signing vs dit eget certifikat
Microsoft tilbyder Azure Trusted Signing til ca. 70 kr./måned som alternativ. De håndterer certifikatet for dig. Her er grunden til, at dit eget certifikat i Azure Key Vault som regel er det bedre valg:
Dit eget certifikat (Azure Key Vault)
- ✓ Portabelt: ikke låst til Azure
- ✓ Virker med ethvert signeringsværktøj (AzureSignTool, Jsign, signtool)
- ✓ Du ejer certifikatet og identiteten
- ✓ Krævet i nogle virksomheds- og offentlige workflows
- ✓ Vælg din CA (DigiCert eller GlobalSign)
- ✓ Intet månedligt abonnement for selve certifikatet
Azure Trusted Signing
- ✓ Administreret af Microsoft, enklere opsætning
- ✓ Ca. 70 kr./måned i abonnement
- — Låst til Azure-økosystemet
- — Microsoft styrer certifikatidentiteten
- — Ikke accepteret i alle virksomhedsmiljøer
Kompatible Certificate Authorities
Kun DigiCert og GlobalSign Code Signing-certifikater virker med Azure Key Vault. Sectigo/Comodo-certifikater er ikke kompatible, fordi Azure Key Vault ikke understøtter deres key attestation-format.
FairSSL sælger både DigiCert og GlobalSign Code Signing-certifikater og leverer installationsguider til begge CA'er med Azure Key Vault. Vi anbefaler den CA, der passer bedst til dine krav og dit budget.
Filtyper du kan signere med Azure Key Vault
Til signering af Office-makroer (.xlsm, .docm, .pptm), se vores guide til signering af Office-makroer (kræver 32-bit signeringsværktøjer).
Hurtig opsætningsoversigt
Køb et Code Signing-certifikat hos FairSSL
Vælg DigiCert eller GlobalSign, OV eller EV. Vælg "Azure Key Vault" som leveringsmetode.
Opret Azure Key Vault (Premium-niveau)
Opret en RSA-HSM 4096-bit nøgle, non-exportable. Premium SKU er påkrævet for HSM-backed nøgler.
Generér CSR fra Key Vault
Opret en certificate request med Subject CN=Dit Firmanavn, EKU 1.3.6.1.5.5.7.3.3 (Code Signing), Content Type: PEM.
Indsend CSR og gennemfør validering
FairSSL håndterer organisationsvalideringen (ofte gennemført samme dag for danske og svenske virksomheder).
Importér det signerede certifikat i Key Vault
Flet CA'ens svar ind i den ventende certificate request i Azure Key Vault.
Installér AzureSignTool og signér
dotnet tool install --global AzureSignTool
FairSSL leverer komplette trin-for-trin-installationsguider med skærmbilleder til både DigiCert og GlobalSign efter køb.
Azure DevOps pipeline-eksempel
AzureSignTool integreres i Azure DevOps, GitHub Actions og GitLab CI. Her er et minimalt Azure Pipelines YAML-eksempel:
- task: DotNetCoreCLI@2
displayName: 'Install AzureSignTool'
inputs:
command: 'custom'
custom: 'tool'
arguments: 'install --global AzureSignTool'
- script: |
AzureSignTool sign \
-kvu $(KeyVaultUrl) \
-kvc $(CertificateName) \
-kvt $(TenantId) \
-kvi $(ClientId) \
-kvs $(ClientSecret) \
-fd sha256 \
-tr http://timestamp.digicert.com \
-td sha256 \
"$(Build.ArtifactStagingDirectory)\**\*.exe"
displayName: 'Sign executables' Gem Key Vault-credentials som pipeline-variabler, eller brug Azure RBAC med en managed identity for nøglefri autentificering. Påkrævede Key Vault-roller: Key Vault Crypto User, Key Vault Certificate User, Key Vault Secrets User.
Relaterede sider: USB-token | Azure Key Vault | Google Cloud KMS | AWS KMS | Office-makroer | Sammenlign alle →
Code Signing-certifikater til Azure Key Vault
OV Code Signing
DigiCert CodeSign OV
DigiCert OV Code Signing. Virker med Azure Key Vault.
GlobalSign CodeSign
GlobalSign OV Code Signing. Virker med Azure Key Vault.
EV Code Signing
Ofte stillede spørgsmål om Azure Key Vault Code Signing
Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.
Klar til at signere fra Azure Key Vault?
Opret en gratis konto og udsted dit første certifikat på under 10 minutter.