与传统证书将私钥存储在本地USB Key或硬件安全模块(HSM)中不同,Certum的云端存储方案的核心是:私钥在生成后,永远不离开受认证的、安全的云硬件安全模块(HSM)中。用户通过安全的API调用来远程使用私钥进行签名,而非直接接触或下载私钥本身。
通过中国授权服务商ssldun申请Certum代码签名证书时,云端存储的证书能够为用户提供更加安全方便的证书存放、下载的方式。今天就随ssldun小编了解云端存储的证书安全备份通过哪些技术与管理机制实现,确保数据完整性与高可用性。
一、Certum代码签名证书
Certum的代码签名证书分为OV标准型和EV增强型两种,ssldun作为其官方授权服务商,可以确保证书的真实性以及提供中文技术支持。
OV标准型代码签名证书(560 /1年,1060 /2年,1500 /3年):需要提供企业营业执照、法人的身份证明文件。可以在证书有效期内无限签发各种类型、版本的软件代码。签发过的软件代码即使证书过期也不影响使用。累计软件下载次数还能获得微软SmartScreen信誉,消除“未知发布者”警告。
EV增强型代码签名证书(1450 /1年,2600 /2年,3450 /3年):需要提供企业营业执照、法人的身份证明文件、企业近期任意一种增值税发票。具备OV代码签名证书的所有功能,还能签发驱动程序(包含内核驱动程序),支持whql认证。而且它签发的软件代码能立即获得微软SmartScreen信誉。
二、随机数与管理机制
1.多层加密技术
传输层加密:证书在上传至云端或下载至本地时,采用SSL/TLS 1.3协议加密,防止数据在传输过程中被截获或篡改。
存储层加密:证书文件在云端服务器上以AES-256算法加密存储,密钥由Certum与ssldun联合管理,确保即使服务器物理访问被攻破,数据仍无法被解密。
2.分布式存储架构
跨地域冗余备份:证书数据同时存储在至少3个不同地理位置的数据中心(如中国内地、香港、新加坡),避免因单点故障(如火灾、地震)导致数据丢失。
实时同步机制:当主存储节点更新证书时,备份节点会在秒级内完成同步,确保所有副本一致性。
3. 自动化备份策略
增量备份:系统每日自动检测证书变更(如续期、吊销),仅备份修改部分,减少存储开销。
版本历史保留:保留最近30天的证书版本快照,用户可随时回滚至任意历史版本,防止误操作导致证书失效。
4. 访问控制与审计
基于角色的权限管理(RBAC):企业用户可设置不同团队成员的访问权限(如仅查看、可下载、可管理),权限变更需双重审批。
操作日志审计:所有证书下载、备份、恢复操作均被记录,包括操作时间、IP地址、用户身份,支持合规性审查(如等保2.0)。
5. 灾难恢复计划
冷备与热备结合:主数据中心提供实时热备(Hot Standby),备用数据中心保持冷备(Cold Standby),可在15分钟内切换至备用环境。
定期恢复演练:ssldun每季度模拟数据丢失场景,验证备份恢复流程的有效性,确保实际灾难发生时响应时间符合SLA(服务级别协议)。
6.用户侧安全建议
本地备份:尽管云端存储可靠,仍建议用户将证书导出为PFX/P12文件,存储在加密的本地设备或私有云中。
密钥分离:若使用硬件令牌(如YubiKey),建议将令牌与云端证书分开保管,防止同时丢失。
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)