COMODO コードサイニング証明書とは？購入、署名方法、確認方法

COMODOのコードサイニング証明書を買ったので、購入方法、署名方法、確認方法をまとめました。

コードサイニング証明書とは？(Code Signing Certificate)

コードサイニング証明書とは、ソフトウェアにデジタル署名を行う電子署名用の証明書のことです。

実行可能プログラム等（コモドの証明書の場合は exe、cab、dll、ocx、Office VBA、.jar、apk、Adobe AIR 等）に付加できる証明書のことです。

証明書を付加することを「コード署名する」「デジタル署名する」と言います。

 

ソフトウェアの配布元を認証し、なりすましや内容の改ざんなどがされていないことを保証し、ユーザの手元に責任をもってソフトウェアを届けることができます。

コード証明書は、WEBサイトのhttpsの証明書とは異なります。

 

コードサイニング証明書の役割は次の3つです。

・なりすまし防止

正規の配布元になりすました偽物のソフトウェアが配布・流通し、企業イメージがダウンするのを防ぎます。

 

・改ざんソフトウェアの被害防止

マルウェアなどが仕込まれた改ざんソフトウェアが再配布されるのを防ぎます。

 

・正規の配布元を証明

正規の配布元であることを証明し、ソフトウェアのインストール率・ダウンロード率増加に結びつけます。

仕組み

コードサイニング証明書を使って、オンラインで配布するソフトやプログラムにコード署名をすることにより、ソフトウェアの開発元・配布元を明確に表示し、コンテンツの完全性を証明することができます。

仕組みは次の通りです。

 

配布側のコードサイニング証明書を組み込み手順

 

受信側のコードサイニング証明書を検証手順

コードサイニング証明書の種類、最安はどこ？

コードサイニング証明書には、以下のような会社が証明書発行認証局 (CA)となって証明書を発行します。

• コモド (Comodo)
• ソート (Thawte)
• シマンティック (Symantec)
• デジサート (Digicert)
• ジオトラスト (GeoTrust)

 

ユーザーはリセラーから、これらの証明書を購入することになります。

コード証明書はどこで買っても大差はないので、なるべく安いところから買いましょう。

海外の方が安いので、海外の方がおすすめです。

今回は、COMODO SSL Storeから購入しています。

・https://comodosslstore.com/code-signing

 

EVコードサイニング証明書とコードサイニング証明書の違い

「コードサイニング証明書」とよく比較されるものとして「EVコードサイニング証明書」があります。

 

EVコードサイニング証明書所有者（証明書で署名する発行元）は、実在性についてCA/ブラウザフォーラムが定めた厳密な検証が行われ使われます。

そのため、EVコードサイニング証明書で署名することで、オンラインで配布されるソフトウェアが第三者による変更や改ざんを受けていない真正なものであることを、最高レベルの確実性で保証できます。

 

「コードサイニング証明書」よりも「EVコードサイニング証明書」の方が信頼性が高く、したがって値段も高いです。

COMODO コード証明書 購入手順

COMODO SSL Storeのサイトを開きます。

・https://comodosslstore.com/code-signing

 

コード証明書の有効期限

コード証明書には有効期限があり、買うときに1年、2年、3年の中で選択します。

3年の証明書を購入した場合、そのコード証明書が有効になってから3年間有効となります。

3年と1日後は無効となり証明書は使えません。

購入

「Comodo Code Signing」を3年分購入します。

必要な個所を入力して、クレジットカードで支払います。

 

エンロール

クレジットカードで購入すると、次のページに遷移します。

 

Note: Generating a Code Signing certificate is a little tricky, it needs to access specific browser features. Mozilla Firefox altered these features in a recent update, however, you can download and use version 60.9esr. Please re-initiate your Code Signing enrollment after downloading and installing this version.

 

Step:1 How To Generate A Code Signing Certificate Request (CSR)

After purchasing a  certificate, open the generation page in Mozilla Firefox and follow the prompts to complete the CSR. It's that simple!

 

なんと、Firefoxのversion 60.9esrが必要とのこと。

該当のリンクから、Firefox version 60.9esrをダウンロードしてインストールします。

 

Firefox version 60.9esrであれば、以下のサイトが開きます。

• Individual 個人
• Organization 会社

のどちらかを選べということなので、「Organization」を選びます。

 

 

サイトで必要事項を記入します。

* は必須です。

ここで書いた組織名が、証明書として表示されます。

また、ここで書いた電話番号に対して、存在確認の電話がかかってくるので、間違いないように書いておきます。

 

電話番号のところは、

たとえば、090-1234-5678 の場合

+819012345678

のように、国際電話にしておいた方がよいと思います。

存在確認、コールバック認証

エンロールが終わると以下のように表示されます。

 

しばらくすると、Comodoの認証局「 Sectigo 」(セクティゴ) からメールが届きます。

Callback

Dear xxx,
Please keep this email to hand.
In order to complete the validation process we will be performing a callback (via Telephone) for this order. Please allow up to one business day before contacting our validation department about this order. We are processing your order and collecting the required documentation to verify your organization details and your telephone number. If we are unable to verify the required information we will contact you via email to let you know what we require. We will perform the callback only after all required documentation has been collected.
We have verified a phone number for your organization. In order to review this phone number and initiate the callback please click here.
If that link doesn't work, please browse to https://secure.trust-provider.com/products/EnterCallbackCode?orderNumber=xxx and also provide the following "email verification code":
aaabbb
Thank you for being a valued Sectigo customer.

visit our website
get support
Copyright Ⓒ Sectigo Limited, All rights reserved.

 

このメールのURLをクリックします。

 

電話番号が正しことを確認して、

Please select language for callbackで「Japanese」を選択します。

「Call me now」をクリックするとすぐに電話がかかってきます。

 

 

Comodoから機械音声で電話があります。

聞こえてくる6桁の数字を控えます。

６桁の確認暗証番号を取得できたら、「Callback Verification Code」に入力します。

コード証明書の準備完了

この後は以下を参考。

・https://codesigningstore.com/wp-content/uploads/thankyou/comodo-code-signing-collection-guide.pdf

 

しばらくすると、Comodoの認証局「 Sectigo 」(セクティゴ) からメールが届きます。

Your Code Signing Certificate is ready!

Dear xxx,
Thank you for placing your order. The necessary background checks have been successfully completed and we are pleased to announce that your Code Signing Certificate has been issued.
To collect your Code Signing Certificate, please click here
Your Collection Code is: xxx
Please use Microsoft Internet Explorer 8+ on Windows and Mozilla Firefox on Mac to collect your certificate.
Code Signing Certificate cannot currently be obtained using Google Chrome, Apple Safari or Microsoft Edge.
Support Page
Should you have any questions or issues you would like to discuss, please do not hesitate to contact us.
Thank you for being a valued Sectigo customer.

visit our website
get support
Copyright Ⓒ Sectigo Limited, All rights reserved.

 

コード証明書の取得  P12ファイル (pfx)

メールの「please click here」をクリックして進みます。

これで、プライベートキーをプルしてインストールされました。

 

Firefoxのメニューから「Options」から「Advanced」を選択します。

その後、「Certificates」タブから「View Certificates」を開きます。

「Certificate Manager」の「Your Certificates」として以下のようにインストールされていることを確認します。

 

証明書を選択して「Backup」します。

パスワードを設定して「OK」します。

 

こうすることで、

コード証明書のP12ファイル「xxxxx.p12」が取得されました。

 

ここで、p12はPublic-Key Cryptography Standards(略称PKCS）の12番目の仕様であり、パスワードに基づく鍵（暗号）により保護された秘密鍵と、それに関連する公開鍵証明書を保管するために一般に利用されるファイルフォーマットの定義のことです。

鍵や証明書をひとつのファイルにまとめて取り扱うための形で、p12やpfx(Personal Information Exchange)とも呼ばれます。

コードサイニング証明書の組み込み方法

コードサイニング証明書の署名の仕方は次の通りです。

Visual Studioに付属のsigntool.exeを使うので、Visual Studioが必須です。

 

Visual Studioのコマンドプロンプトを起動します。

コード証明書のファイル名を ComodoCodeSigningCertificate.p12とします。

aaa.exeに署名します。

署名方法

 

タイムスタンプの設定

コードサイニング証明書の署名の確認方法

コードサイニング証明書で署名されたかどうかを確認するには、署名された実行ファイルを

エクスプローラーで指定
⇒ マウスの右クリックでコンテキストメニューを表示
⇒ プロパティ

で確認します。

 

署名のアルゴリズム： sha256RSA

発行者：Sectigo RSA Code Signing Certificate

と確認できます。

Visual Studioで無料のオレオレ コード証明書の作成方法

ここまで有料のコードサイニング証明書について説明しました。

お手軽に無料のオレオレ コード証明書の作り方があります。

以下をご覧ください。

・https://mseeeen.msen.jp/code-signing-certificate/