Code Signing-certifikat för Azure Key Vault
Signera EXE, DLL, MSIX, PowerShell och NuGet-paket direkt från Azure Key Vault. Inget USB-token behövs. AzureSignTool ersätter signtool.exe och autentiserar till din Key Vault, där din privata nyckel lagras på en FIPS 140-2 Level 3 HSM. Nyckeln lämnar aldrig HSM:en.
Azure Key Vault Premium kostar cirka 50 kr/månad med nästan obegränsade signeringar. Det är avsevärt billigare än CA-hostade molnsigneringstjänster som DigiCert KeyLocker (ca 3 500 kr/år + signeringsbegränsningar utöver certifikatkostnaden).
Vad är Azure Key Vault Code Signing?
Azure Key Vault är Microsofts molnbaserade nyckelhanteringstjänst. I Premium-nivån lagras nycklar på FIPS 140-2 Level 3-certifierad HSM-hårdvara. Den privata nyckeln genereras inne i HSM:en och lämnar den aldrig. Alla signeringsoperationer sker på själva HSM:en.
AzureSignTool ↗ är en gratis, open source-ersättning för signtool.exe som autentiserar till Azure Key Vault via en service principal eller managed identity. Det stöder Authenticode-signering av alla standard Windows-filtyper.
Sedan juni 2023 kräver alla Code Signing-certifikat (OV och EV) HSM-backed nyckellagring. Azure Key Vault
uppfyller detta krav. Software-only .pfx-filer är inte längre tillåtna av någon Certificate Authority.
OV vs EV Code Signing med Azure Key Vault
| OV Code Signing | EV Code Signing | |
|---|---|---|
| Validering | Organisation | Extended (striktare) |
| SmartScreen-rykte | Byggs upp över tid med nedladdningar | Börjar med högre rykte |
| Kernel-mode drivrutinssignering | Nej | Ja (krävs av Microsoft) |
| Azure Key Vault | Premium-nivå (RSA-HSM-nycklar) | Premium-nivå (RSA-HSM-nycklar) |
| Utfärdandetid | 1–3 arbetsdagar | 1–5 arbetsdagar |
| Maximal giltighetstid | 459 dagar | 459 dagar |
Azure Trusted Signing vs ditt eget certifikat
Microsoft erbjuder Azure Trusted Signing för ca 100 kr/månad som alternativ. De hanterar certifikatet åt dig. Här är varför ditt eget certifikat i Azure Key Vault oftast är det bättre valet:
Ditt eget certifikat (Azure Key Vault)
- ✓ Portabelt: inte låst till Azure
- ✓ Fungerar med valfritt signeringsverktyg (AzureSignTool, Jsign, signtool)
- ✓ Du äger certifikatet och identiteten
- ✓ Krävs i vissa företags- och myndighetsarbetsflöden
- ✓ Välj din CA (DigiCert eller GlobalSign)
- ✓ Inget månadsabonnemang för själva certifikatet
Azure Trusted Signing
- ✓ Hanteras av Microsoft, enklare konfiguration
- ✓ Ca 100 kr/månad i abonnemang
- — Låst till Azure-ekosystemet
- — Microsoft styr certifikatidentiteten
- — Inte accepterat i alla företagsmiljöer
Kompatibla Certificate Authorities
Endast DigiCert och GlobalSign Code Signing-certifikat fungerar med Azure Key Vault. Sectigo/Comodo-certifikat är inte kompatibla eftersom Azure Key Vault inte stöder deras key attestation-format.
FairSSL säljer både DigiCert och GlobalSign Code Signing-certifikat och tillhandahåller installationsguider för båda CA:erna med Azure Key Vault. Vi rekommenderar den CA som bäst passar dina krav och din budget.
Filtyper du kan signera med Azure Key Vault
För signering av Office-makron (.xlsm, .docm, .pptm), se vår guide för signering av Office-makron (kräver 32-bitars signeringsverktyg).
Snabb konfigurationsöversikt
Köp ett Code Signing-certifikat från FairSSL
Välj DigiCert eller GlobalSign, OV eller EV. Välj "Azure Key Vault" som leveransmetod.
Skapa Azure Key Vault (Premium-nivå)
Skapa en RSA-HSM 4096-bitars nyckel, non-exportable. Premium SKU krävs för HSM-backed nycklar.
Generera CSR från Key Vault
Skapa en certificate request med Subject CN=Ditt Företagsnamn, EKU 1.3.6.1.5.5.7.3.3 (Code Signing), Content Type: PEM.
Skicka in CSR och genomför validering
FairSSL hanterar organisationsvalideringen (ofta genomförd samma dag för danska och svenska företag).
Importera det signerade certifikatet i Key Vault
Slå samman CA:ns svar med den väntande certificate request i Azure Key Vault.
Installera AzureSignTool och signera
dotnet tool install --global AzureSignTool
FairSSL tillhandahåller kompletta steg-för-steg-installationsguider med skärmdumpar för både DigiCert och GlobalSign efter köp.
Azure DevOps pipeline-exempel
AzureSignTool integreras i Azure DevOps, GitHub Actions och GitLab CI. Här är ett minimalt Azure Pipelines YAML-exempel:
- task: DotNetCoreCLI@2
displayName: 'Install AzureSignTool'
inputs:
command: 'custom'
custom: 'tool'
arguments: 'install --global AzureSignTool'
- script: |
AzureSignTool sign \
-kvu $(KeyVaultUrl) \
-kvc $(CertificateName) \
-kvt $(TenantId) \
-kvi $(ClientId) \
-kvs $(ClientSecret) \
-fd sha256 \
-tr http://timestamp.digicert.com \
-td sha256 \
"$(Build.ArtifactStagingDirectory)\**\*.exe"
displayName: 'Sign executables' Lagra Key Vault-uppgifter som pipeline-variabler, eller använd Azure RBAC med en managed identity för nyckelfri autentisering. Nödvändiga Key Vault-roller: Key Vault Crypto User, Key Vault Certificate User, Key Vault Secrets User.
Relaterade sidor: USB-token | Azure Key Vault | Google Cloud KMS | AWS KMS | Office-makron | Jämför alla →
Code Signing-certifikat för Azure Key Vault
OV Code Signing
DigiCert CodeSign OV
DigiCert OV Code Signing. Fungerar med Azure Key Vault.
GlobalSign CodeSign
GlobalSign OV Code Signing. Fungerar med Azure Key Vault.
EV Code Signing
Vanliga frågor om Azure Key Vault Code Signing
Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.
Redo att signera från Azure Key Vault?
Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.