Signieren Sie Anwendungen schnell und sicher in der Cloud

23.06.2022 | Petra Alm

Die Komponente Secure Software Manager ist ein Bestandteil der Plattform DigiCert ONE, einer ganzheitlichen und modernen Lösung für die Verwaltung von PKI. Mit dem SSM können Sie Ihre Software über die Cloud signieren und das automatische Signieren in Ihre agile Entwicklung und CI/CD integrieren. Endlich können Sie wo und wann auch immer signieren, automatisch und ohne das Zertifikat und den privaten Schlüssel zu halten.

Machen Sie sich mit dem Secure Software Manager bekannt

Haben Sie genug vom Signieren mit einem auf einem Token gespeicherten Code Signing Zertifikat? Von seinem Leihen im Team und dem ewigen Eingeben des Passworts? Macht Sie der mögliche Diebstahl und Missbrauch des Code Signing Zertifikats paranoid? Diese Sorgen können Sie jetzt vergessen, denn der Secure Software Manager kommt, der diese traditionellen Probleme löst. Mit dem SSM ermöglicht Ihnen DigiCert, Applikationen und Codes in der Cloud zu signieren.

Vorteile des Signierens mit dem Secure Software Manager

Der Hauptvorteil des Signierens mit dem Secure Software Manager ist die Speicherung von Schlüsseln (privater Schlüssel und das Zertifikat) in der Cloud von DigiCert. Für die Aufbewahrung der Schlüssel brauchen Sie sich deshalb nicht zu sorgen – der private Schlüssel wird niemals leaken.

Ein weiterer großer Vorteil besteht darin, dass das Code Signing EV Zertifikat frei und ohne das Token genutzt werden kann. Wird nämlich das Token verwendet, wird die Automatisierung unmöglich, weil bei jeder Signierung das Passwort eingegeben und im Team das Token untereinander geliehen werden muss. Mit dem SSM können Sie aber das Code Signing EV Zertifikat und den privaten Schlüssel in der Cloud aufbewahren und außerdem können Sie selbst bestimmen, wann das Zertifikat genutzt werden soll. Es gibt aber auch weitere Sicherheitsfunktionen, wie die Benutzerverwaltung oder Planung von Release.

Der Secure Software Manager ermöglicht Ihnen, die Schlüssel übersichtlich zu verwalten und die Rechte zu ihnen zu verteilen. Sie können Profile der Schlüssel und Zertifikate nach den Schlüssellängen und Algorithmen einstellen, die Sie nutzen möchten. Ebenfalls können Sie das Release planen und ihm entsprechend die Nutzung von konkreten Schlüsseln verbieten, oder eine automatische Rotation von Schlüsseln einstellen, um die Sicherheit zu erhöhen.

Wie funktioniert Signieren in der Cloud?

Der Secure Software Manager nutzt das sog. Hash Signing aus. Diese Methode basiert auf der Signierung des Abdruckes der Datei (und nicht der Datei selbst), ohne das Zertifikat und den privaten Schlüssel handzuhaben. Somit können Sie gleich wie bisher signieren und den Unterschied werden Sie überhaupt nicht merken. Die Retention der Zertifikate wird sich aber markant erhöhen und die Möglichkeit ihres Missbrauchs auf das Minimum senken. Mehr über das Hash Signing können Sie zum Beispiel in dem Dokument Hash Signing with DigiCert Secure Software Manager erfahren.

Bei dieser Methode wandern im Internet weder die signierten Daten noch der private Schlüssel mit dem Zertifikat. Es wird nur der Hash (Abdruck) der signierten Datei übertragen, der mit dem in dem Secure Software Manager gespeicherten privaten Schlüssel signiert ist. Bei großen Dateien ist es von Vorteil, dass sie nirgendwohin eingespielt werden müssen. Für die Geschwindigkeit des ganzen Prozesses ist die Geschwindigkeit der Berechnung des Hashwertes (Abdruckes) entscheidend. Auch bei der Dateigröße von vielen Gigabytes dauert aber die Berechnung meistens nur ein paar Sekunden. Nach der Berechnung des Hashwertes wird die Signierung bei allen Dateien gleich schnell sein, weil der Hash (Abdruck) immer die gleiche Länge haben wird (solange wir die gleiche Funktion nutzen).

Installierte Bibliotheken von DigiCert werden in Ihrem Rechner einen neuen Schlüsselspeicher erstellen (KSP – Key Storage Provider) und die Kommunikation mit der Cloud über API vermitteln. Für den Benutzer bleibt alles so einfach wie früher, wann er das Zertifikat im Rechner gespeichert hatte. DigiCert verfügt über Bibliotheken für alle verbreiteten Systeme und die Signierung können Sie dank einer breiten Unterstützung von Tools wie Azure DevOps, Jenkins, ANT, Gradle und Apache Maven automatisieren.

Auf Windows arbeiten die Bibliotheken mit Authenticode und Windows Sign Tool zusammen, weiter auch mit den Tools Mage, Nuget, Clickonce, HLK oder HCK. Sie ermöglichen nicht nur Apps zu signieren, sondern auch Bibliotheken, Drivers und praktisch alle Typen von Dateien. Die Bibliothek PKCS11 ist für die Plattformen Java, Android, Linux, Docker, OpenSSL bestimmt und ist mit den Tools und Formaten Docker Notary, APIKSigner for Android, OpenSSL, GPG, Debian, XML, JSign, osslsigncode und weiteren vertraut.

Secure Software Manager kann in Ihre CI/CD Prozesse und DevOps integriert werden
Secure Software Manager kann in Ihre CI/CD Prozesse und DevOps integriert werden

Über DigiCert ONE

DigiCert ONE stellt eine Plattform für moderne Verwaltung von PKI dar. Sie deckt alle Aspekte ab, die Sie benötigen können – von einer eigenen CA in der Cloud bis zur Signierung von Dateien und Anwendungen. Die Plattform wurde so entwickelt, dass sie in der Automatisierung genutzt werden kann und sich in CI/CD integrieren lässt. Wie Sie DC ONE in DevOps integrieren können erfahren Sie zum Beispiel in diesem Dokument.

Platforma DigiCert ONE
Plattform DigiCert ONE

DigiCert ONE enthält diese Komponente, deren Namen vielsagend sind:

  • DigiCert® Secure Software Manager
  • DigiCert® IoT Device Manager
  • DigiCert® Enterprise PKI Manager
  • DigiCert® Document Signing Manager
  • DigiCert CertCentral® TLS Manager

Wie sich der Secure Software Manager und DigiCert ONE erwerben lassen

Die Lizenz von einzelnen Komponenten und den Zugang zu DigiCert ONE erwerben Sie über uns, den Platinum-Partner von DigiCert. Sie brauchen uns nur per E-Mail zu kontaktieren. Nachfolgend verbinden wir uns mit Ihnen unverzüglich, besprechen mit Ihnen die Möglichkeiten der Ausnutzung und erstellen für Sie ein unverbindliches Preisangebot.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de