Code Signing-certifikat med USB-token

Alla Code Signing-certifikat från FairSSL inkluderar en SafeNet eToken 5110 CC USB-krypteringsenhet utan extra kostnad. FIPS 140-2 Level 2-certifierad hårdvara. Den privata nyckeln genereras på token och kan aldrig exporteras eller kopieras. Signera med signtool.exe, Jsign eller macOS codesign/productsign.

DigiCert: expressleverans inkluderad i priset (1-2 arbetsdagar). GlobalSign: standardleverans (~7 arbetsdagar) eller express +700 kr.

Se produkter ↓ Jämför alla alternativ för nyckellagring →

Vad är en SafeNet USB-token?

SafeNet eToken 5110 CC är en certifierad USB-krypteringsenhet från Thales (tidigare Gemalto). Den lagrar din Code Signing privata nyckel i manipuleringsskyddad hårdvara. Nyckeln genereras inne i token och kan inte exporteras. Alla signeringsoperationer sker på själva token.

Detta uppfyller CA/Browser Forums krav på FIPS 140-2 Level 2+ nyckellagring som har varit obligatoriskt sedan juni 2023.

Så här fungerar det

Köp ett Code Signing-certifikat från FairSSL

USB-token-leverans är standard.

Genomför organisationsvalidering

1-3 arbetsdagar för OV, 1-5 arbetsdagar för EV.

Ta emot USB-token

DigiCert: expressleverans inkluderad, ankommer 1-2 arbetsdagar efter bekräftelse av postadress. GlobalSign: standardleverans ~7 arbetsdagar efter validering, express (1-2 arbetsdagar) kan tillköpas för 700 kr.

Installera SafeNet-drivrutiner på din signeringsmaskin

SafeNet Authentication Client måste installeras innan certifikatet hämtas.

Hämta och installera certifikatet på token

Via Fortify för GlobalSign eller direkt nedladdning för DigiCert.

Signera din kod

Använd signtool.exe, Jsign eller codesign.

Viktiga säkerhetsvarningar

USB-token låses permanent om fel Administrator Password eller PUK anges 5 gånger. Kontakta oss för att köpa en ny enhet om detta inträffar.

SafeNet-drivrutiner måste installeras innan certifikatet hämtas. Vid förnyelse: uppdatera till senaste drivrutinsversionen.

Certifikatet och den privata nyckeln kan inte kopieras eller exporteras från USB-token.

Signering med USB-token

Windows: signtool.exe

Inkluderad i Windows SDK. Kan också användas via AzureSignTool. Sätt i token och ange PIN när du ombeds.

Java: Jsign

Jsign är cross-platform och open source. Fungerar med USB-tokens via PKCS#11.

macOS: codesign och productsign

Apples inbyggda signeringsverktyg. SafeNet-token registreras automatiskt i macOS Keychain.

Timestamping

Använd alltid RFC 3161 timestamping när du signerar. Det säkerställer att din signatur förblir giltig efter att certifikatet har löpt ut.

Vanliga timestamp-servrar:

DigiCert: http://timestamp.digicert.com
GlobalSign: http://timestamp.globalsign.com/tsa/r6advanced1
Sectigo: http://timestamp.sectigo.com

signtool sign /fd sha256 /tr http://timestamp.digicert.com /td sha256 /a "MyApp.exe"

Extra USB-tokens

Extra SafeNet-tokens kan köpas från FairSSL för 1 050 kr. Praktiskt om du behöver flera signeringsstationer. Certifikatet kan bara finnas på en token (non-exportable), men extra tokens är praktiska som reserv.

RDP-begränsning

USB-tokens kan inte vidarebefordras över standard Windows Remote Desktop (RDP). TeamViewer, AnyDesk och liknande fjärrskrivbordsverktyg stöder USB-token passthrough.

För automatiserad eller fjärrsignering kan du överväga Azure Key Vault eller Google Cloud KMS istället. Se vår jämförelse av HSM-alternativ.

Guide för installation av GlobalSign USB-token

Steg-för-steg-guide för installation av SafeNet-drivrutiner, hämtning av certifikat via Fortify och första signering.

Läs guiden →

Code Signing-certifikat med USB-token

OV Code Signing

DigiCert CodeSign OV

DigiCert OV Code Signing. SafeNet USB-token + expressleverans inkluderad.

från 5 300 SEK /år Se detaljer →

GlobalSign CodeSign

GlobalSign OV Code Signing. SafeNet USB-token inkluderad. Express +700 kr.

från 4 190 SEK /år Se detaljer →

EV Code Signing

DigiCert CodeSign EV

DigiCert EV Code Signing. USB-token + expressleverans inkluderad. Kernel-drivrutiner.

från 8 260 SEK /år Se detaljer →

GlobalSign CodeSign EV

GlobalSign EV Code Signing. USB-token inkluderad. Express +700 kr. SmartScreen-förtroende.

från 4 780 SEK /år Se detaljer →

Se alla produkter med priser →

Vanliga frågor om Code Signing med USB-token

Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.

Är USB-token inkluderad i priset?

Ja. Alla Code Signing-certifikat från FairSSL inkluderar en SafeNet eToken 5110 CC utan extra kostnad. För DigiCert-certifikat är expressleverans (1-2 arbetsdagar) inkluderad i priset. För GlobalSign-certifikat skickas token som standard med vanlig post (~7 arbetsdagars leverans). Expressleverans (1-2 arbetsdagar) kan tillköpas för 700 kr.

Kan jag använda token på flera maskiner?

Ja. Installera SafeNet-drivrutinen på den nya maskinen och sätt i token. Certifikatet följer med token.

Kan jag använda min befintliga USB-token?

Ja, vid förnyelse kan ditt nya certifikat installeras på din befintliga token, förutsatt att det är en SafeNet eToken 5110 CC i funktionsdugligt skick.

Vad gör jag om token blir låst?

Om PUK-koden är tillgänglig kan den användas för att återställa PIN-koden. Om båda PUK och Administrator Password är bortglömda eller spärrade (5 felaktiga försök) är token permanent låst och måste ersättas.

Kan jag signera automatiskt i en CI/CD-pipeline med USB-token?

Det är tekniskt möjligt att skicka PIN via kommandoradsparametrar till signtool, men USB-token måste fysiskt sitta i en maskin. För helt automatiserade pipelines rekommenderar vi Azure Key Vault eller Google Cloud KMS.

Redo att signera med USB-token?

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat