Die vom CA/B-Forum festgelegten Industriestandards erfordern nun, dass alle Code Signing-Zertifikatschlüssel auf einem FIPS-kompatiblen Hardware-Sicherheitsmodul oder Hardware-Token gespeichert werden. Dies ist eine branchenweite Lösung, um der Zunahme von Verstößen im Zusammenhang mit gestohlenen Signaturschlüsseln entgegenzuwirken. Nur Zertifikate, die die oben genannten Anforderungen erfüllen, werden von Microsoft Windows und anderen Plattformen als vertrauenswürdig anerkannt. Daher bieten wir verschiedene Methoden zur Bereitstellung eines Code Signing-Zertifikats gemäß den neuen Richtlinien an.

Je nach Lösungsanbieter (Sectigo, GGSSL, DigiCert) bieten wir verschiedene Lösungen zur Zertifikatszustellung an:

Dies ist die einfachste Option, die wir den meisten Kunden empfehlen. Wählen Sie bei Ihrer Bestellung die entsprechende Versandoption aus und Ihr Zertifikat und Ihr Codesignaturschlüssel werden Ihnen auf einem FIPS-konformen eToken (USB-Token) zugesandt.

Alle angegebenen Preise sind Nettopreise. Im Endpreis (Brutto) ist die Mehrwertsteuer von 23% nicht enthalten. Wenn Sie über eine gültige Umsatzsteuer-Identifikationsnummer (USt-IdNr.) der EU verfügen (VAT-EU), wird der angegebene Preis als Nettopreis behandelt.

Nachdem Sie das Token erhalten haben, können Sie es mit Ihrem Computer oder Server verbinden und dann Dateien mit Ihrem bevorzugten Tool (z. B. SignTool.exe, JarSigner usw.) signieren.

Für fortgeschrittenere Benutzer besteht auch die Möglichkeit der Installation auf einem eigenen HSM oder Token. Wenn Sie bereits über ein HSM oder ein kompatibles Token verfügen, können Sie das Zertifikat herunterladen und auf einem kompatiblen Gerät installieren. Kompatible Lösungen:

Luna Network Attached HSM V7.x
YubiKey 5 FIPS-Serie.
Nur die oben aufgeführte Geräteliste ist mit den neuen Anforderungen kompatibel. Wenn Sie ein Zertifikat bestellen und es auf einer inkompatiblen Lösung installieren, wird die Zahlung für das Zertifikat nicht zurückerstattet.

Wie bei Sectigo bietet DigiCert auch die Lieferung des Zertifikats zusammen mit einem kompatiblen USB-Token an. Die Versandkosten und Token-Kosten sind unabhängig vom Standort gleich

Alle angegebenen Preise sind Nettopreise. Im Endpreis (Brutto) ist die Mehrwertsteuer von 23% nicht enthalten. Wenn Sie über eine gültige Umsatzsteuer-Identifikationsnummer (USt-IdNr.) der EU verfügen (VAT-EU), wird der angegebene Preis als Nettopreis behandelt.

Nachdem Sie das Token erhalten haben, können Sie es mit Ihrem Computer oder Server verbinden und dann Dateien mit Ihrem bevorzugten Tool (z. B. SignTool.exe, JarSigner usw.) signieren.

Darüber hinaus bietet DigiCert die Möglichkeit, ein Code Signing-Zertifikat auf kompatiblen Token zu installieren:

• SafeNet 5110 CC,
• SafeNet 5110 FIPS,
• Safenet 5110+ FIPS

Nur die oben aufgeführte Geräteliste ist mit den neuen Anforderungen kompatibel. Wenn Sie ein Zertifikat bestellen und es auf einer inkompatiblen Lösung installieren, wird die Zahlung für das Zertifikat nicht zurückerstattet.

Es ist auch möglich, das Zertifikat auf Ihrem eigenen HSM-Modul zu installieren. In diesem Fall besteht die Möglichkeit, eine Cloud-Lösung oder ein On-Prem-HSM zu verwenden. Wird bei der Bestellung eine solche Lösung ausgewählt, sendet DigiCert über die bei der Bestellung angegebene E-Mail-Adresse eine Information mit der Bitte um Bestätigung, dass das verwendete HSM den Sicherheitsanforderungen und der Kompatibilität mit den aktuellen Anforderungen entspricht. Nach der Bestätigung steht das Zertifikat digital zum Download zur Verfügung. Kompatible Lösungen:

• Jedes FIPS 140 Level 2 HSM,
• EAL 4+ oder ähnlich.
• Direkt vom Auftraggeber verwaltetes HSM oder Schlüsselspeicherlösungen (Schlüsselspeicher/Tresor)
• sowie Cloud-HSM-Lösungen, z. B. Azure Key Vault und AWS KMS.