保護私密金鑰
代碼簽署最佳做法:用安全的方式產生和儲存私密金鑰
實行代碼簽署程序和保護與他們的簽章憑關聯的私密金鑰的安全時,DigiCert 建議開發人員採取預防措施。
建議
限制存取金鑰
維持對代碼簽署金鑰的帳戶的控制權,並限制其分派。這將有助於執行嚴格負責金鑰的使用。
實際保護在鎖定的容器中的金鑰儲存裝置的安全
確保金鑰儲存裝置不會遺留在書桌上、在未上鎖的抽屜中,或可以輕易取得或複製的位置。
將儲存私密金鑰的裝置保存在上鎖的書桌抽屜、櫃子或已上鎖的門後。
對私密金鑰使用強密碼
選擇用於私密金鑰的強密碼。我們要求有至少十六 (16) 個隨機產生的字元,包含大寫字母、小寫字母、數字和符號以傳輸私密金鑰。字典中的文字、使用者 ID 的衍生內容、一般字元順序 (例如 123456)、正確名稱、地理位置、一般縮寫、俚語、家人名字、生日等不可使用。
安全儲存私密金鑰
使用 FIPS 140-2 Level 2 憑證的加密裝置安全存放私密金鑰。這些加密裝置不允許匯出私密金鑰。這些裝置中的大部份都有多因素身份驗證。
Test Signing (測試簽章) 憑證與 Release Signing (發佈簽章) 憑證
Microsoft 建議使用個別的 Test (測試) 簽署憑證簽署預先發行的代碼。Test 簽署憑證應僅在測試環境中受信任。Test 簽署憑章可以是自我簽章的憑證,或來自內部測試 CA。
其他資訊
如需更多資訊,Microsoft 提供與代碼簽署有關的最佳做法文件。