Code Signing-certifikat med USB-token

Alle Code Signing-certifikater fra FairSSL inkluderer en SafeNet eToken 5110 CC USB crypto-enhed uden ekstra omkostninger. FIPS 140-2 Level 2-certificeret hardware. Den private nøgle genereres på tokenen og kan aldrig eksporteres eller kopieres. Signér med signtool.exe, Jsign eller macOS codesign/productsign.

DigiCert: ekspreslevering inkluderet i prisen (1-2 hverdage). GlobalSign: standard levering (~7 hverdage) eller ekspres +500 kr.

Se produkter ↓ Sammenlign alle muligheder for nøgleopbevaring →

Hvad er en SafeNet USB-token?

SafeNet eToken 5110 CC er en certificeret USB crypto-enhed fra Thales (tidligere Gemalto). Den opbevarer din Code Signing private nøgle i manipulationssikret hardware. Nøglen genereres inde i tokenen og kan ikke eksporteres. Alle signeringsoperationer foregår på selve tokenen.

Dette opfylder CA/Browser Forums krav om FIPS 140-2 Level 2+ nøgleopbevaring, som har været obligatorisk siden juni 2023.

Sådan virker det

Køb et Code Signing-certifikat fra FairSSL

USB-token-levering er standard.

Gennemfør organisationsvalidering

1-3 hverdage for OV, 1-5 hverdage for EV.

Modtag USB-token

DigiCert: ekspreslevering inkluderet, ankommer 1-2 hverdage efter bekræftelse af postadresse. GlobalSign: standard levering ~7 hverdage efter validering, ekspres (1-2 hverdage) kan tilkøbes for 500 kr.

Installér SafeNet-drivere på din signeringsmaskine

SafeNet Authentication Client skal installeres inden certifikatet hentes.

Hent og installér certifikatet på tokenen

Via Fortify for GlobalSign eller direkte download for DigiCert.

Signér din kode

Brug signtool.exe, Jsign eller codesign.

Vigtige sikkerhedsadvarsler

USB-tokenen låses permanent, hvis forkert Administrator Password eller PUK indtastes 5 gange. Kontakt os for at købe en ny enhed, hvis dette sker.

SafeNet-drivere skal installeres inden certifikatet hentes. Ved fornyelse: opdatér til nyeste driverversion.

Certifikatet og den private nøgle kan ikke kopieres eller eksporteres fra USB-tokenen.

Signering med USB-token

Windows: signtool.exe

Inkluderet i Windows SDK. Kan også bruges via AzureSignTool. Sæt tokenen i, og indtast PIN, når du bliver bedt om det.

Java: Jsign

Jsign er cross-platform og open source. Virker med USB-tokens via PKCS#11.

macOS: codesign og productsign

Apples indbyggede signeringsværktøjer. SafeNet-tokenen registreres automatisk i macOS Keychain.

Timestamping

Brug altid RFC 3161 timestamping, når du signerer. Det sikrer, at din signatur forbliver gyldig, efter certifikatet er udløbet.

Almindelige timestamp-servere:

DigiCert: http://timestamp.digicert.com
GlobalSign: http://timestamp.globalsign.com/tsa/r6advanced1
Sectigo: http://timestamp.sectigo.com

signtool sign /fd sha256 /tr http://timestamp.digicert.com /td sha256 /a "MyApp.exe"

Ekstra USB-tokens

Ekstra SafeNet-tokens kan købes fra FairSSL for 750 kr. Nyttigt, hvis du har brug for flere signeringsstationer. Certifikatet kan kun eksistere på én token (non-exportable), men ekstra tokens er praktiske som erstatning.

RDP-begrænsning

USB-tokens kan ikke videresendes over standard Windows Remote Desktop (RDP). TeamViewer, AnyDesk og lignende fjernskrivebordsværktøjer understøtter USB-token passthrough.

Til automatiseret eller fjern-signering kan du overveje Azure Key Vault eller Google Cloud KMS i stedet. Se vores sammenligning af HSM-muligheder.

Guide til opsætning af GlobalSign USB-token

Trin-for-trin-guide til installation af SafeNet-drivere, hentning af certifikat via Fortify og første signering.

Læs guiden →

Code Signing-certifikater med USB-token

OV Code Signing

DigiCert CodeSign OV

DigiCert OV Code Signing. SafeNet USB-token + ekspreslevering inkluderet.

fra 3.550 DKK /år Se detaljer →

GlobalSign CodeSign

GlobalSign OV Code Signing. SafeNet USB-token inkluderet. Ekspres +500 kr.

fra 2.800 DKK /år Se detaljer →

EV Code Signing

DigiCert CodeSign EV

DigiCert EV Code Signing. USB-token + ekspreslevering inkluderet. Kernel-drivere.

fra 5.530 DKK /år Se detaljer →

GlobalSign CodeSign EV

GlobalSign EV Code Signing. USB-token inkluderet. Ekspres +500 kr. SmartScreen-tillid.

fra 3.200 DKK /år Se detaljer →

Se alle produkter med priser →

Ofte stillede spørgsmål om Code Signing med USB-token

Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.

Er USB-tokenen inkluderet i prisen?

Ja. Alle Code Signing-certifikater fra FairSSL inkluderer en SafeNet eToken 5110 CC uden ekstra omkostninger. For DigiCert-certifikater er ekspreslevering (1-2 hverdage) inkluderet i prisen. For GlobalSign-certifikater sendes tokenen som standard med almindelig post (~7 hverdages levering). Ekspreslevering (1-2 hverdage) kan tilkøbes for 500 kr.

Kan jeg bruge tokenen på flere maskiner?

Ja. Installér SafeNet-driveren på den nye maskine, og sæt tokenen i. Certifikatet følger med tokenen.

Kan jeg bruge min eksisterende USB-token?

Ja, ved fornyelse kan dit nye certifikat installeres på din eksisterende token, forudsat at den er en SafeNet eToken 5110 CC i funktionsdygtig stand.

Hvad gør jeg, hvis tokenen bliver låst?

Hvis PUK-koden er tilgængelig, kan den bruges til at nulstille PIN'en. Hvis både PUK og Administrator Password er glemt eller spærret (5 forkerte forsøg), er tokenen permanent låst og skal erstattes.

Kan jeg signere automatisk i en CI/CD-pipeline med USB-token?

Det er teknisk muligt at videregive PIN via kommandolinjeparametre til signtool, men USB-tokenen skal fysisk sidde i en maskine. Til fuldt automatiserede pipelines anbefaler vi Azure Key Vault eller Google Cloud KMS.

Klar til at signere med USB-token?

Opret en gratis konto og udsted dit første certifikat på under 10 minutter.

Opret gratis konto Sammenlign certifikater