Centro de Firma de Código - soporte para la firma de aplicaciones

Centro de atención al cliente de Certificados de Firma de Código (certificados para la firma de código y aplicaciones). Aquí encontrará toda la información relevante sobre la firma de código y el uso de Certificados de Firma de Código.

Certificados de firma de código

Certificados para la firma de código (firma de código) se utilizan para firmar aplicaciones creadas en diferentes plataformas de desarrollo. El objetivo de la firma de código no es solo la autenticación del emisor, sino también proteger la autenticidad de la aplicación y su inmutabilidad. Si alguien modificara la aplicación (por ejemplo, agregando malware), la firma deja de ser válida. Por lo tanto, la mayoría de los sistemas actuales o bien requieren la firma de la aplicación (MacOS), o advierten firmemente antes de ejecutar una aplicación no firmada (Windows).

Certificado de firma de código EV

También ofrecemos un certificado con verificación extendida para los certificados de firma de código. Sus ventajas y la guía de activación se encuentran en los siguientes párrafos.

Importancia del certificado de firma de código EV

Su importancia radica en el aumento de la seguridad del certificado y la clave privada. El certificado junto con la clave privada se almacena en un token y no se puede exportar. El uso del certificado está protegido por contraseña y tras varios intentos fallidos, el token se borra. Es una excelente protección de su certificado de firma de código contra el mal uso. Otra ventaja importante del Certificado de Firma de Código EV es la total confiabilidad en el filtro Smartscreen, que forma parte de Windows. Gracias a la firma EV, tiene la certeza de que el sistema Windows no bloqueará su aplicación a los usuarios.

Para más información sobre el Certificado de Firma de Código en nuestra oferta, visite la página del producto DigiCert Code Signing EV.

Cómo obtener y activar el certificado de firma de código EV

Todo el proceso para obtener y activar el Certificado de Firma de Código EV se describe en el artículo Activación del Certificado de Firma de Código EV.

Cómo firmar software con un certificado digital

Para firmar aplicaciones con firma de código, necesita dos cosas:

Certificado de Firma de Código
Aplicación para firmar

Puede obtener un certificado de firma de código de SSLmarket, y es fácil. Elija una aplicación de firma basada en la plataforma en la que está desarrollando. Estas son las herramientas de firma más populares y extendidas que hemos descrito en nuestra ayuda y podemos asesorarlo:

SignTool del SDK de Windows (ayuda)
Jarsigner (ver artículo en el blog).
Utilidad smctl de DigiCert: recomendamos para KeyLocker (ayuda). Puede usar, por ejemplo, SignTool y simplificar la firma.

La mayoría de nuestros clientes desarrollan en el entorno MS Windows y utilizan el SDK de Windows. Luego, la firma se realiza mediante la herramienta signtool.exe. Puede encontrar la documentación de signtool en la página SignTool.exe (Sign Tool) en el sitio web de Microsoft.

Los certificados de firma de código deben almacenarse en un medio seguro; el método de almacenamiento predeterminado es un token USB que cumple con la certificación CC/FIPS 140-2 nivel 2. En general, el token no permite automatización ni uso en el servidor (a través de RDP). Es necesario ingresar la contraseña del token cada vez que se firma.

Firma usando HSM en la nube

El HSM en la nube se utiliza para el almacenamiento seguro del certificado de Firma de Código y el acceso remoto a él. A diferencia del certificado en un token, permiten la automatización y la firma es muy rápida, ya que solo se envía el hash del archivo a la nube (llamada firma hash).

Recomendamos enfáticamente la firma con hash y la nube en lugar del token. Es seguro, rápido y económico.

HSM en la nube recomendado

DigiCert KeyLocker
Administrador de Confianza de Software de DigiCert
Azure Key Vault
GCP Cloud KMS (Google)
AWS CloudHSM

En los siguientes párrafos encontrará ventajas y desventajas de cada solución.

DigiCert KeyLocker

La alternativa más económica al token es KeyLocker. Es un servicio sencillo para un único usuario que permite una fácil firma de código. DigiCert proporciona sus propias bibliotecas KSP y PKCS#11, que instala en el sistema y firma el código de la misma manera a la que está acostumbrado. Mediante su utilidad SMCTL, la firma es aún más sencilla y directa que con signtool. SMCTL es compatible con las herramientas de firma de código más utilizadas y puede llamarlas. KeyLocker tiene un límite de 1000 firmas, por lo que es adecuado para firmas menos frecuentes. Sin embargo, el número de firmas se puede ampliar por una tarifa.

Administrador de Confianza de Software de DigiCert

Es la solución en la nube más avanzada de la plataforma DigiCert ONE, diseñada para uso empresarial. Ofrece la gestión de un número ilimitado de certificados y usuarios, y es ilimitadamente escalable. La conexión con su plataforma CI/CD está asegurada por scripts y bibliotecas preparados. El acceso a STM y el número de firmas se licencia. Para más información sobre el precio y el modo de licenciamiento, no dude en contactarnos. La documentación se encuentra en el sitio web de DigiCert.

HSM en la nube de Azure y Google

Ambos grandes jugadores en la nube ofrecen un servicio HSM con acceso remoto seguro a través de sus propias bibliotecas, que funcionan como KSP en Windows. Su uso no es complicado y el precio de ambos es muy competitivo (solo se paga por las operaciones criptográficas). Recomendamos Azure y GCP para una gran cantidad de firmas anuales, ya que los costos son bajos.

Puede encontrar una guía para la firma de código mediante Azure Key Vault en el artículo Firma de código usando Azure Key Vault. Para GCP Cloud KMS, en el artículo Firma de código usando Google Cloud KMS.

AWS CloudHSM

Con Amazon, también es posible firmar usando la nube con Signtool del SDK de Windows, pero el HSM habilitado cuesta por hora de operación. Además de los costos fijos, se paga por operaciones (firmas). Si aún no usa AWS, recomendamos más bien Azure o GCP HSM. Puede encontrar más información sobre el uso de Signtool en el artículo Use Microsoft SignTool with Client SDK 3 to sign files.

Comparación Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM

Puedes encontrar la comparación de los tres HSM en la nube en la siguiente tabla. Se enfoca en los costos de las operaciones de firma (hash signing), tarifas fijas, escalabilidad, bajo uso, complejidad operativa y latencia/throughput.

Factor	Azure Key Vault	Google Cloud KMS	AWS CloudHSM / KMS + HSM
Tarifas por operaciones (firmar/verificar)	Muy bajas (≈ $/10 000 operaciones).	Muy bajas (≈ $/10 000 operaciones).	No es el costo principal; las tarifas fijas de HSM son clave.
Costos fijos	Tarifa mensual posible por HSM-clave; de lo contrario, bajos.	Sin costos fijos significativos en modo básico.	Altos: alquiler por hora de HSM (24/7) o Custom Key Store.
Escalabilidad y capacidad	Lineal según transacciones; limitado por el trabajo.	Lineal; cuidar las cuotas (QPS/QPM).	Escalabilidad agregando HSM; también aumenta el costo fijo.
Costo con bajo uso	Valioso: se paga principalmente por operaciones.	Valioso: se paga principalmente por operaciones.	Desventajoso: se paga HSM incluso sin carga.
Complejidad operativa	Baja: servicio gestionado.	Baja: servicio gestionado.	Más alta: gestión de clúster HSM y HA/DR.

Contáctenos

Si tiene dificultades con cualquier paso del pedido del certificado, emisión del certificado, instalación del certificado o cualquier pregunta, no dude en contactar a nuestro servicio de atención al cliente, que le asesorará y ayudará. Nuestros expertos certificados en DigiCert Security Sales Expert Plus están disponibles todos los días laborables durante el horario laboral habitual.

También puede contactarnos directamente desde su cuenta de cliente enviando una solicitud desde el menú del Requerimiento Autorizado.

FAQ - Preguntas Frecuentes

¿Está el certificado de Firma de Código asociado al nombre de mi dominio?

No. La Firma de Código no se emite para un dominio, sino para una organización específica. El nombre de esta organización aparece en Nombre Común.

¿Qué puedo firmar?

Con el certificado DigiCert Code Signing se pueden firmar diferentes tipos de software y scripts para garantizar que son de una fuente confiable y no han sido modificados tras su emisión.

✅ Qué se puede firmar:

Archivos ejecutables: .exe, .dll, .ocx, .msi, .cab
Controladores para Windows (WHLK/HLK)
Aplicaciones Java: .jar
Macros y scripts VBA en Microsoft Office
Scripts de PowerShell: .ps1
Aplicaciones y paquetes macOS (a través de Apple Developer ID)
Aplicaciones Adobe AIR
Aplicaciones y bibliotecas .NET
Scripts e instaladores en varios entornos

⚠️ Qué no se puede firmar:

Código que requiere firma electrónica cualificada según eIDAS
Archivos que no están destinados a distribución
Formatos y plataformas que no admiten firma digital

¿El código con sello de tiempo es válido incluso después de que expire el certificado de Firma de Código?

Sí, el código con sello de tiempo (timestamp) sigue siendo válido incluso después de que expire el certificado. Si usa un sello de tiempo (timestamp) al firmar, el sistema verificará que el código se firmó mientras el certificado era válido. Por lo tanto, la firma sigue siendo confiable. Sin el uso del timestamp, es necesario volver a firmar el código con un nuevo certificado.

¿Cómo puedo sellar con tiempo los proyectos VBA?

Vea el artículo Instructions for timestamping VBA code en el sitio web de DigiCert.com

¿Existe un límite en el número de aplicaciones que puedo firmar con un certificado de Firma de Código?

No, se puede firmar un número ilimitado de aplicaciones con el certificado. Si tiene un certificado de firma de código en un token, puede firmar ilimitadamente. Solo el número de firmas se tiene en cuenta en los servicios en la nube:

DigiCert KeyLocker - durante la validez del certificado, tiene 1000 firmas que puede comprar más.
Administrador de Confianza de Software - las firmas se licencian por el período del contrato.

¿Cómo se firma usando un certificado en la nube?

La firma con un certificado de Firma de Código es simple y rápida. Utiliza la llamada firma basada en hash, en la que primero se calcula el hash del archivo y luego se envía a la nube para su firma. El propio archivo no se transfiere a ninguna parte: solo se devuelve el hash firmado. De esta manera, todo el proceso es seguro y eficiente.

Puedes usar la firma con hash en la nube con estos productos:

DigiCert KeyLocker - más información aquí.
Administrador de Confianza de Software - más información aquí.
Una alternativa es insertar el certificado, por ejemplo, en Azure Key Vault; más información en la guía.

¿Le resultó útil este artículo?

Ayuda

Aplicación de SSLmarket