保護私密金鑰

代碼簽章最佳做法:用安全的方式產生和儲存私密金鑰

實行代碼簽章程序和保護與他們的簽章憑關聯的私密金鑰的安全時,DigiCert 建議開發人員採取預防措施。

建議

限制存取金鑰

維持對代碼簽章金鑰的帳戶的控制權,並限制其分派。這將有助於執行嚴格負責金鑰的使用。

實際保護在鎖定的容器中的金鑰儲存裝置的安全

  • 確保金鑰儲存裝置不會遺留在書桌上、在未上鎖的抽屜中,或可以輕易取得或複製的位置。
  • 將儲存私密金鑰的裝置保存在上鎖的書桌抽屜或櫃子中,或放在已上鎖的門後,

對私密金鑰使用強密碼

選擇用於私密金鑰的強密碼。我們要求有至少十六 (16) 個隨機產生的字元,包含大寫字母、小寫字母、數字和符號以傳輸私密金鑰。字典中的文字、使用者 ID 的衍生內容、一般字元順序 (例如 "123456")、正確名稱、地理位置、一般縮寫、俚語、家人名字、生日等不可使用。

安全儲存私密金鑰

使用 FIPS 140-2 Level 2 憑證的加密裝置安全存放私密金鑰。這些加密裝置不允許匯出私密金鑰。這些裝置中的大部份都有多因素驗證。

Test Signing (測試簽章) 憑證與 Release Signing (發佈簽章) 憑證

Microsoft 建議使用個別的 Test (測試) 簽章憑證簽署預先發行的代碼。Test 簽章憑證應僅在測試環境中受信任。Test 簽章憑章可以是自我簽章的憑證,或來自內部測試 CA。

其他資訊

如需更多資訊,Microsoft 提供與代碼簽章有關的最佳做法文件