Centro de Firma de Código - Soporte de Firma de Aplicaciones
Centro de soporte al cliente para Certificados de Firma de Código (certificados para firmar código y aplicaciones). Aquí encontrará toda la información relevante sobre la firma de código y el uso de Certificados de Firma de Código.
Certificados de Firma de Código
Certificados para firmar código (Code signing) se utilizan para firmar aplicaciones desarrolladas en diferentes plataformas de desarrollo. El objetivo de la firma de código no es solo la autenticación del emisor, sino principalmente la protección de la autenticidad de la aplicación y su inmutabilidad. Si alguien modificara la aplicación (por ejemplo, agregando malware), la firma dejaría de ser válida. Por eso, la mayoría de los sistemas actuales requieren la firma de la aplicación (MacOS) o advierten seriamente antes de ejecutar una aplicación no firmada (Windows).
Certificado EV de Firma de Código
También ofrecemos un certificado con validación extendida para firmas de código. Sus ventajas e instrucciones para su activación se encuentran en los siguientes párrafos.
Importancia del Certificado EV de Firma de Código
Su importancia radica en el aumento de la seguridad del certificado y de la clave privada. El certificado se almacena junto con la clave privada en un token y no se puede exportar. El uso del certificado está protegido por una contraseña y tras varios intentos fallidos, el token se borra. Esto proporciona una excelente protección contra el uso indebido de su certificado de firma de código. Otra ventaja importante del Certificado EV de Firma de Código es la absoluta fiabilidad en el filtro Smartscreen, que forma parte de Windows. Gracias a la firma EV, usted tiene la garantía de que el sistema Windows no bloqueará su aplicación a los usuarios.
Puede encontrar más información sobre el Certificado de Firma de Código en nuestra oferta en la página del producto DigiCert Code Signing EV.
Cómo obtener y activar el Certificado EV de Firma de Código
Todo el proceso de obtención y activación del Certificado EV de Firma de Código está descrito en el artículo Activación del Certificado EV de Firma de Código.
Cómo firmar software con un certificado digital
Para firmar aplicaciones con Firma de Código, necesita dos cosas:
- Certificado de Firma de Código
- Aplicación para firmar
Obtenga el Certificado de Firma de Código de SSLmarket y es fácil. Elija la aplicación de firma basada en la plataforma donde desarrolla. Estas son las herramientas de firma más populares y comunes que tenemos descritas en nuestra ayuda y podemos asesorarle sobre ellas:
- Signtool del SDK de Windows (ayuda)
- Jarsigner (ver artículo en el blog).
- Utilidad smctl de DigiCert - recomendado para KeyLocker (ayuda). Puede usar, por ejemplo, signtool y simplificar la firma.
La mayoría de nuestros clientes desarrollan en el entorno de MS Windows y utilizan el SDK de Windows. La firma luego se realiza usando la herramienta signtool.exe. Puede encontrar la documentación de signtool en la página SignTool.exe (Sign Tool) en el sitio web de Microsoft.
Firma utilizando HSM en la nube
Los HSM en la nube sirven para almacenar de forma segura el certificado de Firma de Código y para tener acceso remoto. A diferencia del certificado en el token, permiten la automatización y la firma es muy rápida porque solo se envía un hash del archivo al cloud (llamado hash signing).
Recomendamos encarecidamente la firma utilizando el hash signing y el cloud en lugar del token. Es seguro, rápido y económico.
HSM en la nube recomendados
- DigiCert KeyLocker
- DigiCert Software Trust Manager
- Azure Key Vault
- GCP Cloud KMS (Google)
- AWS CloudHSM
En los siguientes párrafos encontrará las ventajas y desventajas de cada solución.
DigiCert KeyLocker
La alternativa más económica al token es KeyLocker. Es un servicio sencillo para un solo usuario que permite una fácil firma de código. DigiCert proporciona sus propias bibliotecas KSP y PKCS#11, que se instalan en el sistema y firman el código de manera convencional. Con su utilidad SMCTL, firmar es aún más fácil y directo que con signtool. SMCTL es compatible con las herramientas más usadas para Firma de Código y sabe cómo llamarlas. KeyLocker tiene un límite de 1000 firmas, por lo que es adecuado para firmas menos frecuentes. Sin embargo, el número de firmas se puede ampliar por una tarifa.
DigiCert Software Trust Manager
Es la solución cloud de primera línea de la plataforma DigiCert ONE, diseñada para uso empresarial. Ofrece gestionar un número ilimitado de certificados, usuarios y es escalable sin límite. La conexión con su plataforma CI/CD está asegurada por scripts y bibliotecas preparadas. El acceso a STM y el número de firmas está sujeto a licencia. Para más información sobre precios y licencias, no dude en contactarnos. La documentación se encuentra en el sitio web de DigiCert.
HSM en la nube de Azure y Google
Ambos grandes jugadores cloud proporcionan el servicio HSM con acceso remoto seguro a través de sus propias bibliotecas, que funcionan como KSP en Windows. Su uso no es complicado y el precio de ambos es muy atractivo (solo se cobra por operaciones criptográficas). Recomendamos Azure y GCP para un gran número de firmas al año porque los costos son bajos.
Puedes encontrar instrucciones para firmar código usando Azure Key Vault en el artículo Firmar código usando Azure Key Vault. Para GCP Cloud KMS, en el artículo Firmar código usando Google Cloud KMS.
AWS CloudHSM
Amazon también permite firmar utilizando el cloud usando Signtool del SDK de Windows, pero el HSM configurado tiene un costo por hora de funcionamiento. Además de los costos fijos, se cobra por operaciones (firmas). Si aún no está utilizando AWS, recomendamos más bien Azure o GCP HSM. Puede encontrar más información sobre el uso con Signtool en el artículo Usar Microsoft SignTool con Client SDK 3 para firmar archivos.
Comparación Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM
Puede encontrar la comparación de los tres HSM en la nube en la siguiente tabla. Está enfocada en costos de operaciones de firma (hash signing), tarifas fijas, escalabilidad, baja utilización, complejidad operativa y latencia/capacidad.
| Factor | Azure Key Vault | Google Cloud KMS | AWS CloudHSM / KMS + HSM |
|---|---|---|---|
| Tarifas por operaciones (firma/verificación) | Muy bajas (≈ $/10,000 operaciones). | Muy bajas (≈ $/10,000 operaciones). | No es el costo principal; los principales son los cargos fijos por HSM. |
| Costos fijos | Cargo mensual posible por llave HSM; de lo contrario, bajos. | Sin costos fijos significativos en modo básico. | Altos – arriendo horario de HSM (24/7) o Custom Key Store. |
| Escalabilidad y capacidad | Lineal según las transacciones; limitado por throttling. | Lineal; precaución con cuotas (QPS/QPM). | Escalar añadiendo HSM; también aumenta el costo fijo. |
| Costo con baja utilización | Ventajoso — principalmente se paga por operaciones. | Ventajoso — principalmente se paga por operaciones. | Desventajoso — se paga HSM incluso sin carga. |
| Complejidad operativa | Baja — servicio administrado. | Baja — servicio administrado. | Mayor — gestión del clúster de HSM y HA/DR. |
Contáctenos
Si no está seguro de cómo proceder en cualquier paso del pedido del certificado, emisión del certificado, instalación del certificado, o con cualquier pregunta, no dude en contactar a nuestro soporte al cliente, que le asesorará y ayudará. Nuestros expertos certificados DigiCert Security Sales Expert Plus están disponibles todos los días laborables en horario habitual.
También puede contactarnos directamente desde su cuenta de cliente enviando una solicitud desde el menú Solicitud Autorizada.
FAQ - Preguntas Frecuentes
¿Está el certificado de Firma de Código vinculado al nombre de mi dominio?
No. La Firma de Código no se emite para un dominio, sino para una organización específica. El nombre de esta organización aparece en el nombre común.
¿Qué puedo firmar?
Con el certificado DigiCert Code Signing puede firmar diferentes tipos de software y scripts para garantizar que provienen de una fuente confiable y no han sido modificados tras su emisión.
✅ Qué se puede firmar:
- Archivos ejecutables: .exe, .dll, .ocx, .msi, .cab
- Controladores para Windows (WHLK/HLK)
- Aplicaciones Java: .jar
- Macros y scripts VBA en Microsoft Office
- Scripts PowerShell: .ps1
- Aplicaciones y paquetes de macOS (a través de Apple Developer ID)
- Aplicaciones Adobe AIR
- Aplicaciones y bibliotecas .NET
- Scripts e instaladores en varios entornos
⚠️ Qué no se puede firmar:
- Código que requiere firma electrónica cualificada según eIDAS
- Archivos que no están destinados a distribución
- Formatos y plataformas que no admiten firma digital
¿Es válido el código con sello temporal incluso después de que expire el certificado de Firma de Código?
Sí, el código con sello temporal (timestamp) sigue siendo válido incluso después de que el certificado expire. Si usa un sello temporal (timestamp) al firmar, el sistema verifica que el código fue firmado durante la vigencia del certificado. Gracias a esto, la firma sigue siendo confiable. Sin el uso del timestamp, es necesario volver a firmar el código con un nuevo certificado.
¿Cómo puedo agregar un sello temporal a los proyectos VBA?
Vea el artículo Instructions for timestamping VBA code en el sitio web de DigiCert.com
¿Existe un límite en la cantidad de aplicaciones que puedo firmar con el certificado de Firma de Código?
No, puede firmar un número infinito de aplicaciones con su certificado. Cuando tiene un certificado de Firma de Código en un token, puede firmar de forma ilimitada. El número de firmas solo se tiene en cuenta en los servicios en la nube:
- DigiCert KeyLocker - durante la vigencia del certificado tiene 1000 firmas, puede comprar más.
- Software Trust Manager - las firmas se licencian para la duración del contrato.
¿Cómo se firma usando un certificado en la nube?
Firmar usando un certificado de Firma de Código es simple y rápido. Utiliza el llamado hash-based signing, donde primero se calcula un hash del archivo que se envía al cloud para ser firmado. El archivo en sí no se transfiere a ningún lado: solo se devuelve el hash firmado para completar la firma. Esto hace que todo el proceso sea seguro y eficiente.
Puede utilizar el hash signing con los siguientes productos:
Lo sentimos que no haya encontrado lo necesario aquí.
Ayúdanos mejorar el artículo, por favor. Escríbenos lo que esperaba aquí y no encontró.