SSL-certifikatens maximala livslängd reduceras till 200 dagar från mars 2026. Läs mer →

SSL-certifikat

Billigt SSL DV SSL Wildcard SSL Multi-Domain (SAN) OV & EV SSL

Specialcertifikat

Code Signing Document Signing E-post / S/MIME VMC / BIMI
Pågår nu Certifikatlivslängd

Automatisering

Översikt Auto DNS FairSSL vs Let's Encrypt

Plattformar

Windows-konfiguration Linux & Kubernetes Appliances ACME-klienter

Verktyg

SSL Scanner Certifikat Decoder CAA Generator

Guider

Windows Server Linux & Open Source Alla guider

Företag

Om oss Kontakt Installationsservice
Nyheter

Språk

Dansk Svenska English

Valuta

Logga in Skapa Konto

Code Signing: nyckellagring och HSM-alternativ

Jämför USB-token, Azure Key Vault och Google Cloud KMS. Välj rätt lösning för ditt signeringsarbetsflöde.

Krav sedan 1 juni 2023

Alla Code Signing-certifikat (OV och EV) kräver att den privata nyckeln lagras på hårdvara (FIPS 140-2 Level 2+). Programvarubaserade .pfx-filer är inte längre tillåtna.

USB-token

Ingår i priset

Azure Key Vault

~50 kr/månad

Google Cloud KMS

~25 kr/månad

Varför hårdvarubaserad nyckellagring krävs

Branschkrav

CA/Browser Forum, Microsoft och Apple kräver certifierad hårdvara för alla Code Signing-nycklar.

FIPS 140-2 Level 2+

Hårdvaran måste vara certifierad enligt FIPS 140-2 Level 2 eller Common Criteria EAL 4+.

Icke-exporterbar

Den privata nyckeln kan inte kopieras ut. All signering sker direkt på enheten eller HSM:en.

OV och EV

Både OV och EV Code Signing har samma krav. Gäller alla certifikat utfärdade efter 1 juni 2023.

Rekommenderade lösningar

Alla priser tillkommer utöver certifikatpriset. Priser anges per år. Priser för tredjepartstjänster (Azure, Google, AWS) är ungefärliga och kan ändras av leverantören.

SafeNet USB-token

0 kr/år

Ingår i certifikatpriset. Obegränsade signeringar.

  • RSA 4096-bit, icke-exporterbar nyckel, FIPS 140-2 Level 2
  • Fysiskt ansluten till signeringsdatorn
  • Extra USB-token: 1 100 kr/st, kostnadsfri omutfärdning
  • Skickas med next business day-paket (beställning före kl. 10). Normalt mottaget inom 2 arbetsdagar.

Signeringsverktyg

signtool.exe (Windows), codesign/productsign (macOS), Jsign (alla plattformar)

Obs: SafeNet-programvaran blockerar RDP-sessioner. TeamViewer fungerar.

Bäst för: signering på en enskild dator, inget molnberoende

Azure Key Vault Premium

Rekommenderas

~600 kr/år

~50 kr/månad. Inkl. 500 000 signeringar/år. Extra: 0,30 kr/1 000.

  • RSA-HSM 4096-bit, icke-exporterbar, FIPS 140-2 Level 3
  • Premium-SKU krävs (Standard kan inte skapa RSA-HSM-nycklar)
  • CSR genereras direkt i Azure-portalen
  • Signera var som helst: CI/CD-pipelines, byggservrar, utvecklardatorer

Signeringsverktyg

AzureSignTool (Windows, drop-in signtool-ersättning), Jsign (alla plattformar)

Fullständig Azure Key Vault-guide →

Bäst för: CI/CD-pipelines, fjärrsignering, team

Google Cloud KMS

~300 kr/år

~25 kr/månad för HSM-nyckel. Signeringar: 0,15 kr/1 000.

  • RSA 4096 HSM-skyddad, FIPS 140-2 Level 3
  • CSR via PKCS#11 + OpenSSL (mer CLI-fokuserat än Azure)
  • Mer teknisk konfiguration än Azure Key Vault

Signeringsverktyg

signtool.exe (via Google CNG-provider, Windows), Jsign (alla plattformar)

Google Cloud KMS-konfigurationsguide →

Bäst för: organisationer som redan använder Google Cloud

Övriga alternativ

Alla priser tillkommer utöver certifikatpriset.

DigiCert KeyLocker

~3 500 kr/år

1 000 signeringar inkl. Bara DigiCert-certifikat.

  • DigiCert-hostad molnsignering
  • Enkel konfiguration, hanterad
  • Begränsad till 1 000 signeringar/år

Verktyg: DigiCerts smctl CLI, signtool.exe (via DigiCert KSP)

Bäst för: enkel konfiguration med begränsade signeringar per år

Thales Luna A700

~140 000-350 000 kr

Engångsköp. Obegränsade signeringar (~300 tps).

  • Fysisk nätverks-HSM, FIPS 140-2 Level 3
  • Full kontroll, inget molnberoende
  • Hög startinvestering + underhåll

Verktyg: signtool.exe (via PKCS#11/CNG), Jsign

Bäst för: stora företag med befintlig PKI-infrastruktur

AWS CloudHSM

~150 000 kr/år

Per HSM-kluster. Obegränsade signeringar.

  • FIPS 140-2 Level 3, full PKCS#11
  • Dedikerad HSM i AWS-moln
  • Orimligt dyrt enbart för Code Signing

Verktyg: signtool.exe (via PKCS#11), Jsign

Bäst för: företag som redan kör CloudHSM för andra ändamål

AWS KMS

~120 kr/år

~10 kr/månad för nyckel. Signeringar: 0,30 kr/1 000.

  • FIPS 140-2 Level 3 (sedan maj 2023)
  • RSA 4096, icke-exporterbar
  • Inget signtool.exe-stöd
  • CSR kräver hjälpverktyg

Verktyg: enbart Jsign (ingen signtool/AzureSignTool)

AWS KMS-konfigurationsguide →

Bäst för: organisationer som redan investerat i AWS

SmartScreen, nedladdningsvarningar och Trusted Publishers

Windows SmartScreen är ett nedladdningsryktefilter inbyggt i Windows. När en användare laddar ner och kör en signerad körbar fil utvärderar SmartScreen utgivarens rykte. All signerad programvara visar initialt en reducerad varning ("Windows skyddade din dator" med alternativet "Kör ändå") istället för en fullständig blockering.

EV Code Signing-certifikat startar med högre SmartScreen-rykte, vilket innebär att varningen kan försvinna snabbare eller inte visas alls. OV Code Signing-certifikat bygger rykte över tid i takt med att fler användare laddar ner och kör den signerade programvaran. Båda typerna bygger rykte med varje lyckad nedladdning.

För att helt ta bort den sista varningen måste certifikatet läggas till i Trusted Publishers-lagret på slutanvändarens maskin. Detta görs vanligtvis av lokala IT-avdelningar via grupprinciper för den egna programvaran eller deras huvudleverantörers certifikat. Det är inget som programvaruutgivaren kan styra på slutanvändares maskiner.

Nyckellagringsmetoden (USB-token, Azure Key Vault, Google Cloud KMS) har ingen inverkan på SmartScreen-ryktet. Det som spelar roll är certifikattypen (OV vs EV) och antalet lyckade nedladdningar över tid.

Se den detaljerade SmartScreen-översikten med varningsexempel och de fyra ryktenivåerna.

Översikt av Azure Key Vault-konfiguration

Den här översikten täcker de viktigaste besluten vid konfiguration av Azure Key Vault för kodsignering. FairSSL tillhandahåller fullständiga steg-för-steg-installationsguider för DigiCert och GlobalSign efter köp.

Key Vault-konfiguration

  • SKU: Premium (krävs för HSM-skyddade nycklar. Standard-SKU kan inte skapa RSA-HSM-nycklar)
  • Nyckeltyp: RSA-HSM, 4096-bit, icke-exporterbar
  • Behörigheter: Rollen Key Vault Administrator krävs (kan kräva explicit RBAC-tilldelning även med befintliga administratörsrättigheter)

Certifikatbegäran (CSR)

  • Typ: "Certificate issued by a non-integrated CA"
  • Innehållstyp: PEM
  • Subject: CN=Ditt Företagsnamn (som registrerat hos CA:n)
  • Extended Key Usage: 1.3.6.1.5.5.7.3.3 (Code Signing)
  • Exporterbar privat nyckel: Nej
  • Certificate Transparency: Nej (krävs inte för Code Signing-certifikat)

Efter att du beställt ditt Code Signing-certifikat från FairSSL får du en detaljerad installationsguide specifik för din CA (DigiCert eller GlobalSign) med skärmbilder och exakta steg.

Fullständig Azure Key Vault-konfigurationsguide →

Signeringsverktyg

signtool.exe

Windows. Microsofts officiella signeringsverktyg (del av Windows SDK).

  • Signerar .exe, .dll, .msi, .cab, .sys, .appx och Office-filer
  • Fungerar med USB-token (SafeNet), Google Cloud KMS (via CNG-provider)
  • Ingår i Visual Studio och Windows SDK

AzureSignTool

Windows. Drop-in-ersättning för signtool.exe för Azure Key Vault.

  • Signerar direkt från Azure Key Vault
  • Gratis och öppen källkod
  • Azure RBAC: kräver rollerna Key Vault Crypto User, Certificate User och Secrets User

github.com/vcsjones/AzureSignTool ↗

Jsign

Plattformsoberoende (Windows, macOS, Linux). Java-baserat.

  • Stöder Azure Key Vault, Google Cloud KMS, AWS KMS, YubiKey, SafeNet med mera
  • Fungerar som brygga för jarsigner (Java/Android-signering)
  • Gratis och öppen källkod

ebourg.github.io/jsign ↗

codesign / productsign

macOS. Apples inbyggda verktyg för signering av appar och installationspaket.

  • codesign signerar macOS-appar, frameworks och dylibs
  • productsign signerar .pkg-installationspaket
  • Fungerar med USB-token via Keychain Access

Använd alltid tidsstämpling

Inkludera en RFC 3161-tidsstämpel vid signering så att dina signaturer förblir giltiga efter att certifikatet löper ut.

  • http://timestamp.digicert.com (rekommenderas, mest stabil)
  • http://timestamp.globalsign.com/tsa/r6advanced1

Vad FairSSL hjälper med

Ingår i alla Code Signing-certifikat

  • Fullständiga installationsguider för DigiCert och GlobalSign med Azure Key Vault
  • HSM-attesteringsformulär och bekräftelsehantering
  • Organisationsvalidering på engelska, danska och svenska (ofta klar samma dag)
  • Gratis e-post- och telefonsupport genom hela processen

Valfria tillägg

  • Expressleverans av USB-token: 1-2 arbetsdagar (skickas med next business day-paket, beställning före kl. 10)
  • Fjärrinstallation via TeamViewer (750 kr)

Ingår ej

  • Konfiguration av Azure-abonnemang
  • API-nyckelkonfiguration eller service principal-konfiguration
  • Integration med byggpipeline
  • Konfiguration av signeringsverktyg

Relaterade signeringsverktyg: SignTool / AzureSignTool | Jsign | Jämför alla →

Code Signing-certifikat

OV Code Signing

DigiCert

DigiCert CodeSign OV

OV

DigiCert OV Code Signing. Brett plattformsstöd.

från 5 300 SEK /år Se detaljer →
GlobalSign

GlobalSign CodeSign

OV

GlobalSign OV Code Signing. Starkt varumärke.

från 4 190 SEK /år Se detaljer →

EV Code Signing

DigiCert

DigiCert CodeSign EV

EV

DigiCert EV Code Signing. Krävs för kernel-mode-drivrutiner.

från 8 260 SEK /år Se detaljer →
GlobalSign

GlobalSign CodeSign EV

EV

GlobalSign EV Code Signing. Hårdvarunyckel inkluderad.

från 4 780 SEK /år Se detaljer →
Se alla produkter med priser →

Vanliga frågor om nyckellagring för Code Signing

Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.

Med DigiCert, ja. DigiCert stöder kostnadsfri omutfärdning till ett nytt nyckelpar i Azure Key Vault, och du kan till och med ha både USB-token och Key Vault aktiva samtidigt. Med GlobalSign krävs en ny beställning eftersom de inte stöder omutfärdning till en annan nyckellagringstyp.
Ja. Processen är identisk för både OV och EV Code Signing. Nyckeln genereras i Azure Key Vault och du skickar in CSR:en till CA:n. Den enda skillnaden är valideringskraven.
Azure Trusted Signing är en annan tjänst från Microsoft (cirka 100 kr/månad) som hanterar själva certifikatet. Våra certifikat lagrade i Azure Key Vault ger dig mer kontroll och flexibilitet: du väljer din egen CA, behåller din egen identitet och är inte bunden till en enda signeringsplattform.
Ja, det är det primära användningsområdet för Azure Key Vault. AzureSignTool stöder Azure DevOps, GitHub Actions, GitLab CI och alla andra pipelines som kan köra en Windows- eller .NET-process. Du autentiserar med en Azure service principal eller managed identity.
Nej. Vilket befintligt Azure-abonnemang som helst fungerar. Du behöver bara skapa en Key Vault-resurs med Premium-SKU (krävs för HSM-skyddade nycklar). Om du inte har ett Azure-abonnemang kan du skapa ett gratiskonto och bara betala för Key Vault-resursen.
Kontakta oss så utfärdar vi ett kostnadsfritt ersättningscertifikat på ett nytt token. Det ursprungliga certifikatet återkallas. Detta är ytterligare en fördel med Azure Key Vault: det finns ingen fysisk enhet att tappa bort.

Redo att säkra dina signeringsnycklar?

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat