SSL-certifikaternes maksimale levetid reduceres til 200 dage fra marts 2026. Læs mere →

SSL-certifikater

Billig SSL DV SSL Wildcard SSL Multi-Domain (SAN) OV & EV SSL

Specialcertifikater

Code Signing Document Signing E-mail / S/MIME VMC / BIMI
Sker nu Certifikat Levetid

Automatisering

Oversigt Auto DNS FairSSL vs Let's Encrypt

Platforme

Windows Opsætning Linux & Kubernetes Appliances ACME Klienter

Værktøjer

SSL Scanner Certifikat Decoder CAA Generator

Vejledninger

Windows Server Linux & Open Source Alle vejledninger

Virksomhed

Om os Kontakt Installationsservice
Nyheder

Sprog

Dansk Svenska English

Valuta

Log ind Opret Konto

Code Signing: nøgleopbevaring og HSM-muligheder

Sammenlign USB-token, Azure Key Vault og Google Cloud KMS. Vælg den rigtige løsning til din signerings-workflow.

Krav siden 1. juni 2023

Alle Code Signing-certifikater (OV og EV) kræver, at den private nøgle opbevares på hardware (FIPS 140-2 Level 2+). Software-baserede .pfx-filer er ikke længere tilladt.

USB-token

Inkluderet i prisen

Azure Key Vault

Ca. 35 kr./måned

Google Cloud KMS

Ca. 18 kr./måned

Hvorfor hardware-nøgleopbevaring er påkrævet

Branchekrav

CA/Browser Forum, Microsoft og Apple kræver certificeret hardware til alle Code Signing-nøgler.

FIPS 140-2 Level 2+

Hardware skal være FIPS 140-2 Level 2 eller Common Criteria EAL 4+ certificeret.

Ikke-eksporterbar

Den private nøgle kan ikke kopieres ud. Al signering sker direkte på enheden eller HSM.

OV og EV

Både OV og EV Code Signing følger de samme krav. Gælder alle certifikater udstedt efter 1. juni 2023.

Anbefalede løsninger

Alle priser er oven i certifikatprisen. Priserne er pr. år. Priser for tredjepartstjenester (Azure, Google, AWS) er vejledende og kan ændres af udbyderen.

SafeNet USB-token

0 kr./år

Inkluderet i certifikatprisen. Ubegrænsede signeringer.

  • RSA 4096-bit, ikke-eksporterbar nøgle, FIPS 140-2 Level 2
  • Fysisk tilsluttet signeringsmaskinen
  • Ekstra USB-tokens: 750 kr./stk., gratis genudstedelse
  • Sendes med next business day-pakke (bestilling inden kl. 10). Normalt modtaget 2 hverdage efter bestilling.

Signeringsværktøjer

signtool.exe (Windows), codesign/productsign (macOS), Jsign (alle platforme)

Bemærk: SafeNet-software blokerer RDP-sessioner. TeamViewer fungerer.

Bedst til: signering på én maskine, ingen cloud-afhængighed

Azure Key Vault Premium

Anbefalet

ca. 420 kr./år

~35 kr./måned. Inkl. 500.000 signeringer/år. Ekstra: 0,22 kr./1.000.

  • RSA-HSM 4096-bit, ikke-eksporterbar, FIPS 140-2 Level 3
  • Premium SKU påkrævet (Standard kan ikke oprette RSA-HSM-nøgler)
  • CSR genereres direkte i Azure-portalen
  • Signér fra hvor som helst: CI/CD-pipelines, build-servere, udviklermaskiner

Signeringsværktøjer

AzureSignTool (Windows, drop-in signtool-erstatning), Jsign (alle platforme)

Komplet Azure Key Vault-guide →

Bedst til: CI/CD-pipelines, fjern-signering, teams

Google Cloud KMS

ca. 220 kr./år

~18 kr./måned for HSM-nøgle. Signeringer: 0,10 kr./1.000.

  • RSA 4096 HSM-sikret, FIPS 140-2 Level 3
  • CSR via PKCS#11 + OpenSSL (mere CLI-fokuseret end Azure)
  • Mere teknisk opsætning end Azure Key Vault

Signeringsværktøjer

signtool.exe (via Google CNG-provider, Windows), Jsign (alle platforme)

Google Cloud KMS-opsætningsguide →

Bedst til: organisationer, der allerede bruger Google Cloud

Andre muligheder

Alle priser er oven i certifikatprisen.

DigiCert KeyLocker

ca. 2.250 kr./år

1.000 signeringer inkl. Kun DigiCert-certifikater.

  • DigiCert-hostet cloud-signering
  • Enkel opsætning, administreret
  • Begrænset til 1.000 signeringer/år

Værktøjer: DigiCerts eget smctl CLI, signtool.exe (via DigiCert KSP)

Bedst til: simpel opsætning med begrænset antal signeringer pr. år

Thales Luna A700

ca. 100.000-250.000 kr.

Engangskøb. Ubegrænsede signeringer (~300 tps).

  • Fysisk netværks-HSM, FIPS 140-2 Level 3
  • Fuld kontrol, ingen cloud-afhængighed
  • Høj startinvestering + vedligeholdelse

Værktøjer: signtool.exe (via PKCS#11/CNG), Jsign

Bedst til: store virksomheder med eksisterende PKI-infrastruktur

AWS CloudHSM

ca. 100.000 kr./år

Pr. HSM-klynge. Ubegrænsede signeringer.

  • FIPS 140-2 Level 3, fuld PKCS#11
  • Dedikeret HSM i AWS-cloud
  • Uforholdsmæssigt dyrt til Code Signing alene

Værktøjer: signtool.exe (via PKCS#11), Jsign

Bedst til: virksomheder der allerede har CloudHSM til andre formål

AWS KMS

ca. 85 kr./år

~7 kr./måned for nøgle. Signeringer: 0,22 kr./1.000.

  • FIPS 140-2 Level 3 (siden maj 2023)
  • RSA 4096, ikke-eksporterbar
  • Ingen signtool.exe-understøttelse
  • CSR kræver hjælpeværktøjer

Værktøjer: kun Jsign (ingen signtool/AzureSignTool)

AWS KMS-opsætningsguide →

Bedst til: organisationer, der allerede er investeret i AWS

SmartScreen, download-advarsler og Trusted Publishers

Windows SmartScreen er et download-omdømmefilter bygget ind i Windows. Når en bruger downloader og kører en signeret eksekverbar fil, evaluerer SmartScreen udgiverens omdømme. Al signeret software vil til at starte med vise en reduceret advarsel ("Windows beskyttede din pc" med en "Kør alligevel"-mulighed) i stedet for en fuld blokering.

EV Code Signing-certifikater starter med højere SmartScreen-omdømme, hvilket betyder at advarslen kan forsvinde hurtigere eller slet ikke vises. OV Code Signing-certifikater opbygger omdømme over tid, efterhånden som flere brugere downloader og kører den signerede software. Begge typer opbygger omdømme med hver succesfuld download.

For helt at fjerne den sidste advarsel skal certifikatet tilføjes til Trusted Publishers-lageret på slutbrugerens maskine. Dette gøres typisk af lokale IT-afdelinger via Group Policy for deres egen software eller deres primære leverandørers certifikater. Det er ikke noget, softwareudgiveren kan styre på slutbrugerens maskiner.

Nøgleopbevaringsmetoden (USB-token, Azure Key Vault, Google Cloud KMS) har ingen indflydelse på SmartScreen-omdømmet. Det, der betyder noget, er certifikattypen (OV vs EV) og antallet af rene downloads over tid.

Se den detaljerede SmartScreen-oversigt med advarselseksempler og de fire omdømmeniveauer.

Oversigt over Azure Key Vault-opsætning

Denne oversigt dækker de vigtigste beslutninger ved opsætning af Azure Key Vault til Code Signing. FairSSL leverer komplette trin-for-trin installationsguides til DigiCert og GlobalSign efter køb.

Key Vault-konfiguration

  • SKU: Premium (påkrævet for HSM-sikrede nøgler. Standard SKU kan ikke oprette RSA-HSM-nøgler)
  • Nøgletype: RSA-HSM, 4096-bit, ikke-eksporterbar
  • Rettigheder: Key Vault Administrator-rollen er påkrævet (kan kræve eksplicit RBAC-tildeling, selv med eksisterende admin-rettigheder)

Certifikatanmodning (CSR)

  • Type: "Certificate issued by a non-integrated CA"
  • Content type: PEM
  • Subject: CN=Dit Firmanavn (som registreret hos CA)
  • Extended Key Usage: 1.3.6.1.5.5.7.3.3 (Code Signing)
  • Exportable Private Key: No
  • Certificate Transparency: No (ikke påkrævet for Code Signing-certifikater)

Efter du har bestilt dit Code Signing-certifikat hos FairSSL, modtager du en detaljeret installationsguide tilpasset din CA (DigiCert eller GlobalSign) med skærmbilleder og præcise trin.

Komplet Azure Key Vault-opsætningsguide →

Signeringsværktøjer

signtool.exe

Windows. Microsofts officielle signeringsværktøj (del af Windows SDK).

  • Signerer .exe, .dll, .msi, .cab, .sys, .appx og Office-filer
  • Virker med USB-token (SafeNet), Google Cloud KMS (via CNG-provider)
  • Inkluderet med Visual Studio og Windows SDK

AzureSignTool

Windows. Drop-in-erstatning for signtool.exe til Azure Key Vault.

  • Signerer direkte fra Azure Key Vault
  • Gratis og open source
  • Azure RBAC: kræver Key Vault Crypto User, Certificate User og Secrets User-roller

github.com/vcsjones/AzureSignTool ↗

Jsign

Cross-platform (Windows, macOS, Linux). Java-baseret.

  • Understøtter Azure Key Vault, Google Cloud KMS, AWS KMS, YubiKey, SafeNet m.fl.
  • Fungerer som bro til jarsigner (Java/Android-signering)
  • Gratis og open source

ebourg.github.io/jsign ↗

codesign / productsign

macOS. Apples indbyggede værktøjer til signering af apps og installationspakker.

  • codesign signerer macOS-apps, frameworks og dylibs
  • productsign signerer .pkg-installationspakker
  • Virker med USB-token via Keychain Access

Brug altid tidsstempling

Inkludér et RFC 3161-tidsstempel ved signering, så dine signaturer forbliver gyldige, efter certifikatet udløber.

  • http://timestamp.digicert.com (anbefalet, mest stabil)
  • http://timestamp.globalsign.com/tsa/r6advanced1

Hvad FairSSL hjælper med

Inkluderet med alle Code Signing-certifikater

  • Komplette installationsguides til DigiCert og GlobalSign med Azure Key Vault
  • HSM-attesteringsformular og bekræftelseshåndtering
  • Organisationsvalidering på dansk, svensk og engelsk (ofte gennemført samme dag)
  • Gratis e-mail- og telefonsupport gennem hele processen

Valgfrie tilkøb

  • Express-levering af USB-token: 1-2 hverdage (sendes med next business day-pakke, bestilling inden kl. 10)
  • Fjerninstallation via TeamViewer (500 kr.)

Ikke inkluderet

  • Opsætning af Azure-abonnement
  • API-nøglekonfiguration eller opsætning af service principal
  • Build pipeline-integration
  • Konfiguration af signeringsværktøjer

Relaterede signeringsværktøjer: SignTool / AzureSignTool | Jsign | Sammenlign alle →

Code Signing-certifikater

OV Code Signing

DigiCert

DigiCert CodeSign OV

OV

DigiCert OV Code Signing. Bred platformsupport.

fra 3.550 DKK /år Se detaljer →
GlobalSign

GlobalSign CodeSign

OV

GlobalSign OV Code Signing. Stærkt brand.

fra 2.800 DKK /år Se detaljer →

EV Code Signing

DigiCert

DigiCert CodeSign EV

EV

DigiCert EV Code Signing. Kræves til kernel-mode drivere.

fra 5.530 DKK /år Se detaljer →
GlobalSign

GlobalSign CodeSign EV

EV

GlobalSign EV Code Signing. Hardware-nøgle inkluderet.

fra 3.200 DKK /år Se detaljer →
Se alle produkter med priser →

Ofte stillede spørgsmål om Code Signing nøgleopbevaring

Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.

Med DigiCert, ja. DigiCert understøtter gratis genudstedelse til et nyt nøglepar i Azure Key Vault, og du kan endda have både USB-token og Key Vault aktive samtidig. Med GlobalSign kræver skift en ny bestilling, da de ikke understøtter genudstedelse til en anden nøgleopbevaringstype.
Ja. Processen er identisk for både OV og EV Code Signing. Nøglen genereres i Azure Key Vault, og du indsender CSR til CA. Den eneste forskel er valideringskravene.
Azure Trusted Signing er en anden tjeneste fra Microsoft (ca. 70 kr./måned), der håndterer selve certifikatet. Vores certifikater i Azure Key Vault giver dig mere kontrol og fleksibilitet: du vælger din egen CA, beholder din egen identitet og er ikke bundet til én enkelt signeringsplatform.
Ja, det er det primære anvendelsesområde for Azure Key Vault. AzureSignTool understøtter Azure DevOps, GitHub Actions, GitLab CI og enhver anden pipeline, der kan køre en Windows- eller .NET-proces. Du autentificerer med en Azure service principal eller managed identity.
Nej. Ethvert eksisterende Azure-abonnement virker. Du skal blot oprette en Key Vault-ressource med Premium SKU (påkrævet for HSM-sikrede nøgler). Hvis du ikke har et Azure-abonnement, kan du oprette en gratis konto og kun betale for Key Vault-ressourcen.
Kontakt os, og vi udsteder et gratis erstatningscertifikat på en ny token. Det oprindelige certifikat tilbagekaldes. Dette er endnu en fordel ved Azure Key Vault: der er ingen fysisk enhed at miste.

Klar til at sikre dine signeringsnøgler?

Opret en gratis konto og udsted dit første certifikat på under 10 minutter.

Opret gratis konto Sammenlign certifikater