Code Signing-certifikat til Google Cloud KMS
Signér EXE, DLL, Java-artefakter og PowerShell direkte fra Google Cloud KMS. Ingen USB-token nødvendig. Jsign forbinder til din Cloud KMS-nøgle og udfører signeringen. Den private nøgle opbevares på en FIPS 140-2 Level 3 HSM og forlader aldrig Googles infrastruktur.
GCP KMS koster ca. 18 kr/måned (en HSM-nøgle + signeringsoperationer). Det er markant billigere end CA-hostede cloud-signeringstjenester som DigiCert KeyLocker (ca. 2.250 kr./år + signeringsbegrænsninger oven i certifikatprisen).
Hvad er Google Cloud KMS Code Signing?
Google Cloud Key Management Service er Googles cloudbaserede nøglehåndteringstjeneste. Med HSM protection level opbevares nøgler på FIPS 140-2 Level 3-certificeret HSM-hardware. Den private nøgle genereres inde i HSM'en og forlader den aldrig. Alle signeringsoperationer foregår på selve HSM'en.
Jsign ↗ er det primære signeringsværktøj til GCP KMS. Det er open source, Java-baseret og cross-platform. Jsign forbinder til GCP KMS via service account-autentificering og udfører Authenticode- og JAR-signering med den cloud-hostede nøgle.
Siden juni 2023 kræver alle Code Signing-certifikater (OV og EV) HSM-backed nøgleopbevaring. GCP KMS
opfylder dette krav. Software-only .pfx-filer er ikke længere tilladt af nogen Certificate Authority.
OV vs EV Code Signing med Google Cloud KMS
| OV Code Signing | EV Code Signing | |
|---|---|---|
| Validering | Organisation | Extended (strengere) |
| SmartScreen-omdømme | Opbygges over tid med downloads | Starter med højere omdømme |
| Kernel-mode driversignering | Nej | Ja (krævet af Microsoft) |
| Nøgleopbevaring | GCP KMS HSM | GCP KMS HSM |
| Udstedelsestid | 1–3 hverdage | 1–5 hverdage |
| Maksimal gyldighed | 459 dage | 459 dage |
Google Cloud KMS vs Azure Key Vault
Begge tjenester opfylder HSM-kravet for code signing. Valget afhænger af din cloud-platform og signeringsworkflow.
Google Cloud KMS
- ✓ Ca. 18 kr/måned
- ✓ FIPS 140-2 Level 3 HSM
- ✓ Signering via Jsign (cross-platform)
- ✓ Google Cloud SDK-autentificering
- ✓ Ideel til GCP-native teams
Azure Key Vault
- ✓ Ca. 35 kr/måned
- ✓ FIPS 140-2 Level 3 HSM
- ✓ Signering via AzureSignTool eller Jsign
- ✓ Azure AD/RBAC-autentificering
- ✓ Ideel til Azure-native teams og Windows-workflows
Kompatible Certificate Authorities
Kun DigiCert og GlobalSign understøtter GCP KMS key attestation. Sectigo/Comodo-certifikater er ikke kompatible med Google Cloud KMS.
FairSSL sælger både DigiCert og GlobalSign Code Signing-certifikater og leverer installationsguider til begge CA'er med Google Cloud KMS. Vi anbefaler den CA, der passer bedst til dine krav og dit budget.
Signeringsværktøjer
Jsign er det anbefalede signeringsværktøj til Google Cloud KMS. Det understøtter GCP KMS nativt og virker på Windows, macOS og Linux. Jsign håndterer Authenticode-signering (.exe, .dll, .msi) og JAR-signering.
signtool.exe virker ikke med GCP KMS direkte, da der ikke findes en CNG-provider til Google Cloud. Brug Jsign i stedet.
Komplet opsætningsguide til Google Cloud KMS Code Signing
Trin-for-trin-guide med GCP CLI-kommandoer, service account-opsætning og CI/CD-eksempler.
Læs opsætningsguiden →Relaterede sider: USB-token | Azure Key Vault | Google Cloud KMS | AWS KMS | Office-makroer | Sammenlign alle →
Code Signing-certifikater til Google Cloud KMS
OV Code Signing
DigiCert CodeSign OV
DigiCert OV Code Signing. Virker med Google Cloud KMS.
GlobalSign CodeSign
GlobalSign OV Code Signing. Virker med Google Cloud KMS.
EV Code Signing
Ofte stillede spørgsmål om Google Cloud KMS Code Signing
Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.
Klar til at signere fra Google Cloud KMS?
Opret en gratis konto og udsted dit første certifikat på under 10 minutter.