コードサイニング証明書の秘密鍵管理は非常に重要です。
EV/OV コードサイニング証明書の秘密鍵は、ハードウェアトークン(USBトークン)またはHSM(ハードウェアセキュリティモジュール)で保護されていますが、これらを安全に管理する必要があります。
以下の推奨事項をチェックし、安全な管理を実施してください。
秘密鍵にアクセスできるユーザーを明確に規定し、それ以外のユーザーは秘密鍵にアクセスできないようにします。
これは、コード署名の信頼性を維持するうえで非常に重要です。
トークンなどの秘密鍵記憶装置は、机のうえに置いたままにするなど、誰でもが利用できる状態にせず、鍵のかかった机の引き出しや、鍵のかかったキャビネットにを保管してください。
秘密鍵で利用するパスワードは強力なものを選択してください。
パスワードは大文字・小文字・数字・記号を含み、16文字以上の長さが必要です。
辞書に載っている単語、ユーザー名、共通の文字列(例えば、「123456」)、固有名詞、地名、会社名、家族の名前、誕生日などは使用するべきではありません。
Microsoftはプレリリースコードに署名するためにテスト署名証明書を使用することを推奨しています。
プレリリースコードへの署名には、DigiCertのコードサイニング証明書は利用しないことをお勧めします。
テスト署名証明書とは、テスト環境でのみ信頼される証明書で、自己署名証明書、あるいは、内部テストCAから取得した証明書を指します。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
