秘密鍵を保護する

コード署名のベストプラクティス:秘密鍵を安全に生成および保護する

DigiCert は、コード署名プロセスの実装と署名証明書に関連づけた秘密鍵の安全保護を推奨しています。

推奨事項

キーへのアクセスを制限する

コード署名キーへのアクセスを維持し責任管理を行い、その通知を制限します。これにより、キーの利用について厳しい責任管理を執行できます。

キーストレージデバイスをロック済コンテナで物理的に安全保護する

  • ロックされていない引出で、あるいは簡単に取り出しまたはコピーできる、ストレージデバイスがデスクに残っていないことを確認してください。
  • ドックされたデスクの引出またはキャビネットあるいはそれ以外でロックされたドアの後ろで秘密鍵が保管するデバイスを保管してください。

秘密鍵には強いパスワードを使用する

秘密鍵には強いパスワードを選択してください。秘密鍵を伝送するには、大文字、小文字、数字および記号が含まれるランダムに生成された、少なくとも十六(16)文字が必要です。辞書に載っている言葉、ユーザーID の派生、一般的な文字配列 (例. "123456")、固有名詞、地域の場所、一般的略語、俗語、姓名、誕生日などは使用できません。

秘密鍵のストレージを安全保護する

FIPS 140-2 レベル 2 認定暗号デバイスを使用して、秘密鍵を安全に保管します。これらの暗号デバイスにより、秘密鍵のエクスポートは許可されていません。これらのデバイスのほとんどには、多要素認証が含まれます。

テスト署名証明書とリリース署名証明書

Microsoft は、個別のテスト署名証明書を使用してプレリリースコードに署名することを推奨します。テスト署名証明書は、テスト環境でのみ、信頼されます。テスト署名証明書は自己署名証明書にすることができるか、内部テスト CA からも可能です。

追加情報

詳細については、Microsoft から、コード署名に関する ベストプラクティスドキュメント が提供されています。