Code Signing-certifikat för Google Cloud KMS
Signera EXE, DLL, Java-artefakter och PowerShell direkt från Google Cloud KMS. Inget USB-token behövs. Jsign ansluter till din Cloud KMS-nyckel och utför signeringen. Den privata nyckeln lagras på en FIPS 140-2 Level 3 HSM och lämnar aldrig Googles infrastruktur.
GCP KMS kostar cirka 25 kr/månad (en HSM-nyckel + signeringsoperationer). Det är avsevärt billigare än CA-hostade molnsigneringstjänster som DigiCert KeyLocker (ca 3 500 kr/år + signeringsbegränsningar utöver certifikatkostnaden).
Vad är Google Cloud KMS Code Signing?
Google Cloud Key Management Service är Googles molnbaserade nyckelhanteringstjänst. Med HSM protection level lagras nycklar på FIPS 140-2 Level 3-certifierad HSM-hårdvara. Den privata nyckeln genereras inne i HSM:en och lämnar den aldrig. Alla signeringsoperationer sker på själva HSM:en.
Jsign ↗ är det primära signeringsverktyget för GCP KMS. Det är open source, Java-baserat och cross-platform. Jsign ansluter till GCP KMS via service account-autentisering och utför Authenticode- och JAR-signering med den molnhostade nyckeln.
Sedan juni 2023 kräver alla Code Signing-certifikat (OV och EV) HSM-backed nyckellagring. GCP KMS
uppfyller detta krav. Software-only .pfx-filer är inte längre tillåtna av någon Certificate Authority.
OV vs EV Code Signing med Google Cloud KMS
| OV Code Signing | EV Code Signing | |
|---|---|---|
| Validering | Organisation | Extended (striktare) |
| SmartScreen-rykte | Byggs upp över tid med nedladdningar | Börjar med högre rykte |
| Kernel-mode drivrutinssignering | Nej | Ja (krävs av Microsoft) |
| Nyckellagring | GCP KMS HSM | GCP KMS HSM |
| Utfärdandetid | 1–3 arbetsdagar | 1–5 arbetsdagar |
| Maximal giltighetstid | 459 dagar | 459 dagar |
Google Cloud KMS vs Azure Key Vault
Båda tjänsterna uppfyller HSM-kravet för code signing. Valet beror på din molnplattform och ditt signeringsarbetsflöde.
Google Cloud KMS
- ✓ Ca 25 kr/månad
- ✓ FIPS 140-2 Level 3 HSM
- ✓ Signering via Jsign (cross-platform)
- ✓ Google Cloud SDK-autentisering
- ✓ Idealiskt för GCP-nativa team
Azure Key Vault
- ✓ Ca 50 kr/månad
- ✓ FIPS 140-2 Level 3 HSM
- ✓ Signering via AzureSignTool eller Jsign
- ✓ Azure AD/RBAC-autentisering
- ✓ Idealiskt för Azure-nativa team och Windows-arbetsflöden
Kompatibla Certificate Authorities
Endast DigiCert och GlobalSign stöder GCP KMS key attestation. Sectigo/Comodo-certifikat är inte kompatibla med Google Cloud KMS.
FairSSL säljer både DigiCert och GlobalSign Code Signing-certifikat och tillhandahåller installationsguider för båda CA:erna med Google Cloud KMS. Vi rekommenderar den CA som bäst passar dina krav och din budget.
Signeringsverktyg
Jsign är det rekommenderade signeringsverktyget för Google Cloud KMS. Det stöder GCP KMS nativt och fungerar på Windows, macOS och Linux. Jsign hanterar Authenticode-signering (.exe, .dll, .msi) och JAR-signering.
signtool.exe fungerar inte med GCP KMS direkt, eftersom det inte finns någon CNG-provider för Google Cloud. Använd Jsign istället.
Komplett installationsguide för Google Cloud KMS Code Signing
Steg-för-steg-guide med GCP CLI-kommandon, service account-konfiguration och CI/CD-exempel.
Läs installationsguiden →Relaterade sidor: USB-token | Azure Key Vault | Google Cloud KMS | AWS KMS | Office-makron | Jämför alla →
Code Signing-certifikat för Google Cloud KMS
OV Code Signing
DigiCert CodeSign OV
DigiCert OV Code Signing. Fungerar med Google Cloud KMS.
GlobalSign CodeSign
GlobalSign OV Code Signing. Fungerar med Google Cloud KMS.
EV Code Signing
Vanliga frågor om Google Cloud KMS Code Signing
Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.
Redo att signera från Google Cloud KMS?
Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.