Vad är kodsignering och varför behöver jag det?
Hur fungerar ett Code Signing Account?
Vad är skillnaden mellan ett utgivar-ID och ett innehålls-ID?
Hur många utgivar-ID:n behöver jag till ett signeringskonto?
Hur många innehålls-ID:n eller signeringshändelser behöver jag?
Behöver jag signera alla filer i .cab-filen eller bara .cab-filen?
Vilken typ av signeringskonto behöver jag?
Hur lång tid tar det att signera kod med ett signeringskonto?
Varför måste jag förnya mitt utgivar-ID/administratörs-ID?
Finns det någon metod för att skripta processen för kodsignering inom ett Code Signing Account?
Hur länge varar en digital signatur?
Kan jag få åtkomst till mitt kodsigneringskonto från olika datorer?
Hur vet någon att denne kan lita på min digitala signatur?
Vad händer om jag förlorar mitt USB-token eller mitt utgivar-ID, eller om det blir komprometterat?
Vad är kodsignering och varför behöver jag det?
Kodsignering skapar en digital "inplastning" som visar kunderna identiteten för det företag som ansvarar för koden och bekräftar att den inte har ändrats efter att den signerades. Vid traditionell försäljning av programvara kan köparen bekräfta applikationens källa och integritet genom att undersöka förpackningen. Kunder laddar ned applikationer till sina mobiltelefoner, installerar insticksprogram och tilläggsprogram och interagerar med sofistikerade webbaserade applikationer i allt högra grad. De riskerar att kompromettera sin säkerhet och mobilnätverkens funktionalitet om de laddar ned elakartad eller felaktig kod. VeriSign® Code Signing skyddar ditt varumärke och din immateriella egendom genom att göra det möjligt att identifiera dina applikationer och svårare att förfalska eller skada dem med en digital signatur.
Tillbaka till början
Hur fungerar ett Code Signing Account?
Kod- och innehållscertifikat baseras på publik nyckelkryptografi. En utvecklare eller programvaruutgivare använder en privat nyckel för att lägga till en digital signatur till kod eller innehåll. Programvaruplattformar och applikationer använder en publik nyckel för att dekryptera signaturen under nedladdningen och jämför den hash som används för att signera applikationen med den nedladdade applikationens hash. Signerad kod från en pålitlig källa kan accepteras automatiskt eller så kan en säkerhetsvarning kräva att slutanvändaren visar signaturinformationen och bestämmer om koden ska ses som pålitlig eller inte.
Med ett kodsigneringscertifikat signerar utvecklaren all kod med samma digitala signatur och identifierar på så vis källan till koden och att koden inte har manipulerats sedan signeringen. Ett CodeSigning Account använder en signeringsprocess i två steg för att skapa en unik digital signatur varje gång kod signeras, vilket gör varje utgiven version av koden enklare att spåra och upphäva. Utvecklaren använder ett utgivar-ID för att signera kod och logga in på sitt Code Signing Account. Utvecklaren överför sedan sin kod till VeriSign via ett VeriSign® Flexible Signing Account. VeriSign validerar utgivarens signatur, tar sedan bort utgivarens digitala signatur och skapar ett nytt nyckelpar, signerar innehållet och skickar tillbaka det till utgivaren med ett nyskapat innehålls-ID.
Tillbaka till början
Vad är skillnaden mellan ett utgivar-ID och ett innehålls-ID?
Ett utgivar-ID är det digitala certifikat du får när du registrerar dig för ett signeringskonto. Det innehåller din organisationsinformation och används för att signera din kod digitalt innan du överför den till ditt konto. Det används även för autentisering vid inloggning i signeringskontoportalen. Ett innehålls-ID är det unika kodsigneringscertifikat som skapas av VeriSign när ditt innehåll signeras på signeringskontot. Det är den enda signatur som kommer att godkännas i slutanvändarenheten för säker nedladdning och körning. För att signera kod med ett Signing Account
måste du köpa ett utgivar-ID och ett paket innehålls-ID:n eller "signeringshändelser".
Tillbaka till början
Hur många utgivar-ID:n behöver jag till ett signeringskonto?
Varje signeringskonto levereras med ett utgivar-ID (kallas även konto-ID eller administratörscertifikat). En administratör kan logga in på Signing Account och köpa ytterligare utgivar-ID:n för olika utvecklingsgrupper inom organisationen. Genom att använda ett Signing Account med flera utgivar-ID:n, får organisationen en portal där de kan visa och spåra all kodsignering och varje grupp får en unik identitet som kan återkallas eller ändras för bättre säkerhet.
Tillbaka till början
Hur många innehålls-ID:n eller signeringshändelser behöver jag?
Ett innehålls-ID förbrukas varje gång en applikation eller en kod signeras. Innehålls-ID:n säljs via Signing Account i paket om signeringshändelser. Du behöver en signeringshändelse för varje applikation som du signerar, inklusive för olika versioner. Om du har en Windows Mobile®-applikation som består av en .cab-fil som innehåller en .exe- och en .dll-fil så genererar signeringen av applikationen tre signeringshändelser, en för vardera .dll-, .exe-, och .cab-filen, men bara en signeringshändelse förbrukas.
Tillbaka till början
Behöver jag signera alla filer i .cab-filen eller bara .cab-filen?
Alla körbara filer i .cab-filen måste signeras. Ett VeriSign® Flexible Signing Account signerar automatiskt alla dessa körbara filer när .cab-filen överförs för signering.
Tillbaka till början
Vilken typ av Signing Account behöver jag?
Olika nätverksleverantörer och programplattformar har olika krav och olika verktyg för att signera kod. Med VeriSign® Flexible Signing Account
kan utvecklare överföra applikationer för Microsoft® Mobile2Market Normal eller Privileged Access.
Tillbaka till början
Hur lång tid tar det att signera kod med ett signeringskonto?
VeriSign signerar godkända applikationer automatiskt. Kodsignering kan ta från ett par minuter upp till flera dagar, beroende på den typ av signeringstjänst som du använder och enhetsplattformens eller mobilnätverkets krav. Nätverksleverantören eller säljaren kan kräva testning för applikationer som har åtkomst till säkra API. Utvecklaren signerar applikationen och skickar den till testlaboratoriet som sedan överför den till Signing Account. VeriSign meddelar nätverksleverantören eller säljaren om att applikationen är klar för signering. När nätverksleverantören eller säljaren godkänner applikationen, slutför VeriSign signeringsprocessen. Utvecklare kan spåra statusen för sin applikation med Signing Account. Kontakta din nätverksleverantör eller säljare direkt för mer information om krav på testning och godkännande.
Tillbaka till början
Varför måste jag förnya mitt utgivar-ID/administratörs-ID?
Utgivar-ID:n och administratörs-ID:n går ut efter 12 månader. VeriSign använder en beprövad, kraftfull process för att autentisera och verifiera organisationer innan vi utfärdar klass 3-certifikat, såsom Code Signing. Den årliga förnyelseprocessen säkerställer att aktuellt utgivar-ID används av en rättmätig organisation och kontakten auktoriseras för att få utvecklas för organisationen. Detta är en nödvändig process för att vi ska kunna utfärda Code Signing Certificates, inklusive utgivar-ID:n, till dig.
Tillbaka till början
Finns det någon metod för att skripta processen för kodsignering inom ett Code Signing Account?
VeriSign erbjuder ett utgivar-API för kunder med ett VeriSign® Flexible Signing Account. Logga in på ditt konto och klicka på Resurscentral
och sedan på Produktdokumentation. Ladda ned zipfilen "Signera portalutgivar-API"
för information och exempel på skriptning.
Tillbaka till början
Hur länge varar en digital signatur?
VeriSign Code Signing Accounts kan användas för kodsignering med 10-åriga digitala signaturer. Även om ett utgivar-ID löper ut, fortsätter ditt unika innehålls-ID och den digitala signaturen att vara giltiga.
Tillbaka till början
Kan jag få åtkomst till mitt kodsigneringskonto från olika datorer?
Du kan få åtkomst till ditt Signing Account från alla datorer där du kan använda ett USB-token som innerhåller ditt utgivar-ID, under förutsättning att datorn uppfyller systemkraven. Du måste dock köpa och hämta ditt utgivar-ID från samma dator. Om du får problem vid hämtningen ska du kontrollera att du använder samma dator, webbläsare och inloggningsprofil som du gjorde vid registreringen. VeriSign rekommenderar att utvecklare köper ytterligare utgivar-ID:n istället för att dela certifikat, för bättre säkerhet och hantering.
Tillbaka till början
Hur vet någon att denne kan lita på min digitala signatur?
Genom att helt enkelt signera din kod, säkerställer du att den inte har manipulerats och att den kommer från dig, men den verifierar inte vem du är. Fler litar på en oberoende CU än på ett självsignerat certifikat eftersom den som begärde certifikatet var tvungen att gå via en tredje parts autentiseringsprocess. När programvaruplattformar och applikationer verifierar en digital signatur, får de åtkomst till ett "rotcertifikat" för att avgöra om det går att lita på den CU som utfärdade certifikatet. Eftersom VeriSigns rotcertifikat är förinstallerade på de flesta enheter och är inbäddade i de flesta applikationer, ses digitala signaturer från VeriSign nästan alltid som pålitliga vilket minskar antalet varningar och felmeddelanden.
Tillbaka till början
Vad händer om jag förlorar mitt USB-token eller mitt utgivar-ID, eller om det blir komprometterat?
Ett USB-token med ett utgivar-ID eller ett tokenlösenord kan inte ersättas om det förloras eller stjäls, eftersom du inte vill att någon ska kunna hitta det och använda det för att signera kod i ditt namn. Om din privata nyckel försvinner eller blir komprometterad eller om din information ändras, ska du återkalla ditt utgivar-ID omedelbart och ersätta det med ett nytt digitalt certifikat.
Tillbaka till början
