保護私密密鑰

代碼簽署最佳做法:用安全的方式產生和儲存私密密鑰

實行代碼簽署程序和保護與他們的簽章憑關聯的私密密鑰的安全時,DigiCert 建議開發人員採取預防措施。

建議

限制存取密鑰

維持對代碼簽署密鑰的帳戶的控制權,並限制其分派。這將有助於執行嚴格負責密鑰的使用。

實際保護在鎖定的容器中的密鑰儲存裝置的安全

  • 確保密鑰儲存裝置不會遺留在書桌上、在未上鎖的抽屜中,或可以輕易取得或複製的位置。
  • 將儲存私密密鑰的裝置保存在上鎖的書桌抽屜或櫃子中,或放在已上鎖的門後,

對私密密鑰使用強密碼

選擇用於私密密鑰的強密碼。我們要求有至少十六 (16) 個隨機產生的字元,包含大寫字母、小寫字母、數字和符號以傳輸私密密鑰。字典中的文字、使用者 ID 的衍生內容、一般字元順序 (例如 "123456")、正確名稱、地理位置、一般縮寫、俚語、家人名字、生日等不可使用。

安全儲存私密密鑰

使用 FIPS 140-2 Level 2 憑證的加密裝置安全存放私密密鑰。這些加密裝置不允許匯出私密密鑰。這些裝置中的大部份都有多因素身份驗證。

Test Signing (測試簽章) 憑證與 Release Signing (發佈簽章) 憑證

Microsoft 建議使用個別的 Test (測試) 簽章憑證簽署預先發行的代碼。Test 簽章憑證應僅在測試環境中受信任。Test 簽章憑章可以是自簽章的憑證,或來自內部測試 CA。

其他資訊

如需更多資訊,Microsoft 提供與代碼簽章有關的最佳做法文件