Certificats de signature de code - Centre de support client
Bienvenue dans notre centre de support client dédié aux certificats de signature de code et d'applications. Vous y trouverez toutes les informations essentielles concernant la signature de code ainsi que l'utilisation des certificats.
Certificats Code signing
Les certificats de signature de code (Code signing) permettent de signer des applications créées sur différentes plates-formes de développement. La signature de code ne vise pas seulement à authentifier l'éditeur, mais surtout à empêcher toute modification de l'application. Toute modification du code (un malware) est détectée et la signature cesse d'être valide. Pour empêcher les manœuvres frauduleuses sur les applications, la plupart de systèmes intègre une approche pour les protéger : exige une signature (MacOS) ou lance un avertissement au moment de l’exécution d'une application non signée (Windows).
Certificats Code signing EV (Validation Étendue)
Quels sont les avantages des certificats de signature de code avec validation étendue et quel est le processus d'activation ? Pour en savoir plus, consultez les paragraphes suivants.
Pourquoi choisir un certificat de Signature de Code EV ?
Il est impératif que les clés privées et les certificats de signature de code soient stockés et installés sur des solutions sécurisées, telles que le DigiCert® KeyLocker, des tokens matériels, ou des modules de sécurité matériels (HSM) certifiés au minimum FIPS 140-2 Niveau 2 ou Critères Communs EAL 4+.
Vous avez probablement déjà rencontré le message d'avertissement du filtre SmartScreen de Windows indiquant : "Un programme non identifié veut accéder à votre ordinateur". Avec un certificat de signature de code EV, vous bénéficiez d'une confiance totale sous Windows, garantissant que votre application signée ne sera jamais bloquée. Pour plus d'information, consultez notre page produit Digicert Code Signing EV.Comment obtenir et activer un certificat Code Signing
Le processus d'obtention et d'activation des certificats Code Signing est décrit dans l'article Activation du certificat Code Signing.
Comment signer un logiciel avec un certificat numérique
Pour signer des applications avec un certificat Code Signing, vous avez besoin de deux éléments:
- Certificat Code Signing
- Application de signature
Le certificat de signature de code est délivré après vérification de l'identité du demandeur. Ensuite, vous pouvez choisir l'application de signature (en fonction de la plateforme sur laquelle vous développez). Dans notre section d'aide, vous trouverez des descriptions détaillées des outils de signature les plus populaires et les plus utilisés :
- Signtool de Windows SDK (aide)
- Jarsigner (voir article de blog).
- Utilitaire smctl de DigiCert - recommandé pour KeyLocker (aide). Par exemple signtool et simplifier la signature.
Les développeurs travaillant sous MS Windows avec le Windows SDK utilisent signtool.exe.La documentation détaillée de cet outil est disponible sur la page SignTool.exe (Sign Tool) SignTool.exe (Sign Tool) du site officiel de Microsoft.
Signer avec HSM Cloud
Le HSM Cloud permet de stocker le certificat de signature de code en toute sécurité et d'y accéder à distance. Contrairement à un certificat sur token USB, il permet l'automatisation. La signature est très rapide, parce que seul le hachage du fichier est envoyé au cloud (signature par hachage).
Nous recommandons la signature cloud plutôt que la signature par token. C'est une solution sûre, rapide et économique.
HSM Cloud recommandé
- DigiCert KeyLocker
- DigiCert Software Trust Manager
- Azure Key Vault
- GCP Cloud KMS (Google)
- AWS CloudHSM
Dans les paragraphes suivants, nous décrivons les avantages et les inconvénients de chaque solution.
DigiCert KeyLocker
KeyLocker représente l'alternative la plus économique aux tokens offrant un service simple qui facilite la signature de code. DigiCert propose ses bibliothèques KSP et PKCS#11, que vous pouvez installer sur votre système. Avec leur utilitaire SMCTL, la procédure de signature devient encore plus simple et intuitive comparée à l'utilisation de signtool. SMCTL est compatible avec les principaux outils de signature de code et peut les appeler. KeyLocker est initialement limité à 1000 signatures avec la possibilité d'augmenter ce nombre à des frais supplémentaires.
DigiCert Software Trust Manager
Il s'agit d'une solution cloud de pointe issue de la plateforme DigiCert ONE, conçue pour les entreprises. Elle permet de gérer un nombre illimité de certificats et d'utilisateurs, et offre une évolutivité infinie. La connexion à votre plateforme CI/CD est assurée par des scripts et des bibliothèques prêts à l'emploi. L'accès à STM et le nombre de signatures sont soumis à une licence. Pour plus d'informations sur les tarifs et les modalités de licence, n'hésitez pas à nous contacter. La documentation est disponible sur le site web de DigiCert .
HSM Azure et Google Cloud
Les principaux fournisseurs de cloud, Azure et Google Cloud, offrent un service HSM avec un accès distant sécurisé à travers leurs bibliothèques dédiées, semblables à KSP sous Windows. Faciles à utiliser, ces services sont proposés à des tarifs extrêmement compétitifs, vous facturant uniquement les opérations cryptographiques effectuées. Pour un volume élevé de signatures annuelles, nous recommandons Azure et Google Cloud Platform (GCP) en raison de leurs coûts réduits.
Pour plus d'informations sur la manière de signer du code avec Azure Key Vault, consultez l'article Signer le code avec Azure Key Vault. Pro GCP Cloud KMS pak v článku Signature de code avec Google Cloud KMS.
AWS Cloud HSM
Amazon offre la possibilité de signer des documents dans le cloud grâce à Signtool, un outil inclus dans le SDK Windows. Cependant, l'utilisation du module HSM est facturée à l'heure, en plus des coûts fixes et des frais par opération de signature. Si vous n'êtes pas déjà utilisateur d'AWS, nous vous recommandons d'opter pour les solutions HSM d'Azure ou de GCP. Pour en savoir plus sur l'utilisation de Signtool, vous pouvez consulter l'article Use Microsoft SignTool with Client SDK 3 to sign files.
Comparaison d'Azure Key Vault, Google Cloud KMS et AWS CloudHSM/KMS+HSM
Le tableau ci-dessous propose une comparaison des trois solutions HSM cloud, en mettant l'accent sur plusieurs aspects clés : les coûts liés à la signature de hachage, les frais fixes, la capacité de mise à l'échelle, l'efficacité en cas de faible utilisation, la complexité opérationnelle, ainsi que la latence et le débit.
| Facteur | Azure Key Vault | Google Cloud KMS | AWS CloudHSM / KMS + HSM |
|---|---|---|---|
| Frais de transaction (sign/verify) | Très faible (≈ $/10 000 opérations). | Très faible (≈ $/10 000 opérations). | Ce n'est pas de coût clé ; les principaux sont les frais fixes pour HSM. |
| Coûts fixes | Frais mensuels pour la clé HSM ; sinon, faibles. | Sans coûts fixes importants en mode de base. | Location à l'heure - HSM (24h/24 et 7j/7) ou Custom Key Store. |
| Évolutivité et capacité | Linéaire par transactions ; limité par la limitation de débit. | Linéaire ; attention aux quotas (QPS/QPM). | Mise à l'échelle par ajout de HSM ; les coûts fixes augmentent également. |
| coûts en cas de faible utilisation | Avantageux — payé principalement pour les opérations. | Avantageux — payé principalement pour les opérations. | Inconvénient — HSM est payé même sans charge. |
| Complexité opérationnelle | Faible — Service géré. | Faible — Service géré. | Niveau supérieur — Gestion des clusters HSM et HA/HR. |
Contactez-nous
Pour toute question concernant la commande, l'émission ou l'installation d'un certificat, n'hésitez pas à contacter notre service client. Nos experts certifiés en sécurité sont disponibles tous les jours de la semaine pendant les heures ouvrables.
Vous pouvez également nous joindre directement depuis votre compte client en envoyant une demande via le menu Demande Autorisée.
FAQ - questions fréquemment posées
Le certificat Code Signing est-il lié au nom de mon domaine ?
Non. Code Signing n'est pas émis pour un domaine, mais pour une organisation. Le nom de l'organisation doit être saisi dans Common name.
Quel type de fichier puis-je signer ?
Avec le certificat DigiCert Code Signing, vous pouvez signer différents types de logiciels et de scripts. La signature numérique garantit que le logiciel n'est pas malveillant ou trompeur susceptible d'apporter des modifications indésirables à votre appareil ou à votre ordinateur.
✅ Les fichiers qui peuvent être signés incluent :
- Fichiers exécutables : .exe, .dll, .ocx, .msi, .cab>
- Pilotes pour Windows (WHLK/HLK)
- Applications Java : .jar
- Macros et scripts VBA dans Microsoft Office
- Scripts PowerShell : .ps1
- Applications et paquets macOS (via Apple Developer ID)
- Applications AIR d'Adobe
- Applications et bibliothèques .NET
- Scripts et pilots dans divers environnements
⚠️ Certains documents ne peuvent pas être signés électroniquement :
- Code nécessitant une signature électronique qualifiée conformément à eIDAS
- Fichiers non destinés à la distribution
- Formats et plateformes qui ne prennent pas en charge la signature numérique
Le code horodaté est-il valide après l'expiration du certificat Code Signing ?
Oui, le code horodaté (timestampé) reste valide même après l'expiration du certificat. Si vous utilisez un horodatage (timestamp) lors de la signature, le système vérifie que le code a été signé au moment de la validité du certificat. Cela garantit la fiabilité continue de la signature. Sans utilisation de l'horodatage, il est nécessaire de resigner le code avec un nouveau certificat.
Comment puis-je horodater des projets VBA ?
Voir l'article Instructions pour horodater le code VBA sur le site DigiCert.com.
Y a-t-il une limite au nombre d'applications que je peux signer avec le certificat Code Signing ?
Non, le certificat vous permet de signer un nombre illimité de logiciels. Si vous avez un certificat de signature de code sur un token, vous pouvez signer de manière illimitée. En revanche, si vous optez pour un service cloud, il y a certaines limites :
- DigiCert KeyLocker. Pendant la durée de validité du certificat, vous disposez de 1 000 signatures, mais il est possible d'en acheter davantage si nécessaire.
- Software Trust Manager. Les signatures sont sous licence pendant la durée du contrat.
Comment signer avec un certificat dans le cloud ?
La signature avec un certificat Code Signing est simple et rapide. Elle utilise ce qu'on appelle la signature basée sur le hachage, où un hachage est d'abord calculé à partir du fichier, qui est ensuite envoyé dans le cloud pour être signé. Le fichier lui-même n'est pas transféré - uniquement le hachage signé est renvoyé pour signature. Cela rend le processus sûr et efficace.
La signature par hachage utilisant le cloud est disponible pour ces produits :
Nous sommes désolés que vous n'ayez pas trouvé les informations que vous recherchiez.
Aidez-nous à améliorer cet article. Vous cherchez autre chose ? N'hésitez pas à nous écrire.