Dział Sprzedaży: +48 789 594 102
Napisz do nasLive Chat Baza Wiedzy Blog
Panel Klienta

Google Cloud KMS i Sectigo Code Signing: Zaawansowane zarządzanie kluczami i podpisywanie kodu

Google Cloud KMS
24 lipca 2025  w Aktualności, Oferta

Współczesne środowiska chmurowe stawiają przed inżynierami wysokie wymagania w zakresie bezpieczeństwa kluczy kryptograficznych oraz zaufanych podpisów kodu. Google Cloud Key Management Service (KMS) dostarcza skalowalne i w pełni zarządzane rozwiązanie do tworzenia, przechowywania i zarządzania kluczami szyfrującymi, natomiast certyfikat Sectigo Code Signing umożliwia nadanie oprogramowaniu niepodważalnego, cyfrowego odcisku. Poniższy wpis prezentuje dogłębną analizę architektury Google Cloud KMS, integrację z Sectigo Code Signing oraz praktyczne scenariusze implementacji.

1. Architektura Google Cloud KMS

1.1. Węzły HSM i ochrona kluczy
  • Cloud HSM (FIPS 140‑2 Level 3) stanowi fizyczne środowisko zabezpieczające klucz prywatny.
  • Klucze symetryczne i asymetryczne dzielą się na:
    • Symetryczne — AES‑256‑GCM/GCM‑SIV
    • Asymetryczne — RSA‑2048/3072/4096, EC P‑256/P‑384/P‑521
  • Google separuje warstwę zarządzania kluczami (control plane) od warstwy kryptograficznej (data plane), co umożliwia audyt i logowanie operacji KMS w Cloud Audit Logs.
1.2. Model IAM oraz autoryzacja
  • Role predefiniowane i customizowane:
    • roles/cloudkms.admin — pełen dostęp
    • roles/cloudkms.cryptoKeyEncrypterDecrypter — szyfrowanie/deszyfrowanie
    • roles/cloudkms.viewer — tylko odczyt
  • Warstwowe zabezpieczenie: polityki na poziomie projektu, folderu i organizacji.
1.3. Rotacja i odzyskiwanie kluczy
  • Automatyczna rotacja: definiowana w konfiguracji klucza (rotationPeriod).
  • Klucze oznaczone jako „destroy scheduled” można przywrócić przed końcem okresu oczekiwania (destroy_scheduled_duration).

2. Sectigo Code Signing – przegląd PKI

2.1. Rola certyfikatu w cyklu życia oprogramowania
  • Zapewnia tożsamość wydawcy i integralność kodu.
  • Chroni przed podmianą i atakami typu man-in-the-middle oraz przed ostrzegawczymi alertami systemów operacyjnych.
2.2. Elementy certyfikatu Sectigo Code Signing
  • Klucz prywatny: chroniony lokalnie lub w HSM/Cloud KMS
  • CSR (Certificate Signing Request): generowany np. za pomocą OpenSSL
  • Łańcuch zaufania: root → intermediate → certyfikat wydawcy

3. Integracja Google Cloud KMS z Sectigo Code Signing

3.1. Generowanie klucza asymetrycznego w KMS
gcloud kms keys create code-signing-key \
  --location=global \
  --keyring=signing-ring \
  --purpose=asymmetric-signing \
  --default-algorithm=RSA_SIGN_PKCS1_4096_SHA256
3.2. Eksport CSR

Cloud KMS wspiera generowanie CSR dla kluczy asymmetric-signing:

gcloud kms keys versions create \
  --key code-signing-key \
  --location global \
  --keyring signing-ring \
  --protection-level hsm \
  --generate-upload-job \
  --algorithm rsa-sign-pkcs1-4096-sha256

gcloud kms import-job describe import-job-1 \
  --location global \
  --keyring signing-ring
# Odczytaj CSR z wyjścia i przekaż do Sectigo
3.3. Uzyskanie certyfikatu Sectigo
  1. Prześlij CSR w naszym panelu klienta.
  2. Po weryfikacji pobierz certyfikat w formacie PEM/PKCS#7.
3.4. Import certyfikatu do Cloud KMS
gcloud kms import-key-version \
  --location=global \
  --keyring=signing-ring \
  --key=code-signing-key \
  --import-job=import-job-1 \
  --algorithm=rsa-sign-pkcs1-4096-sha256 \
  --wrapped-key-material=certificatesection.pem

Od tej chwili Cloud KMS przechowuje parę klucz → certyfikat, gotową do podpisywania binariów.

4. Praktyczny scenariusz: CI/CD i podpisywanie

  1. CI Pipeline (np. Jenkins, GitLab CI) wysyła artefakt do usługi build.
  2. W kroku signing: 
    gcloud kms asymmetric-sign \
  --location=global \
  --keyring=signing-ring \
  --key=code-signing-key \
  --version=1 \
  --digest-algorithm=sha256 \
  --digest=$(openssl dgst -sha256 -binary myapp.jar | base64) \
  > signature.bin
jarsigner -keystore NONE \
  -signedjar myapp-signed.jar \
  -signatureFile signature.bin \
  myapp.jar
  3. Weryfikacja: 
    gcloud kms asymmetric-verify \
  --location=global \
  --keyring=signing-ring \
  --key=code-signing-key \
  --version=1 \
  --digest-algorithm=sha256 \
  --digest=$(openssl dgst -sha256 -binary myapp-signed.jar | base64) \
  --signature=signature.bin

5. Najlepsze praktyki

  • Separacja środowisk: oddziel keyring do dev/test od prod.
  • Minimalne uprawnienia IAM: ogranicz dostęp wyłącznie do roli cryptoKeySigner.
  • Monitorowanie: włącz Cloud Audit Logs dla operacji KMS.
  • Automatyczna rotacja: definiuj rotationPeriod na 30–90 dni, aby uniknąć długotrwałego użycia klucza.
  • Bezpieczeństwo CSR: twórz i przysyłaj CSR tylko z HSM/Cloud KMS.

Połączenie Google Cloud KMS z certyfikatem Sectigo Code Signing umożliwia zbudowanie bezpiecznego, skalowalnego procesu zarządzania kluczami i cyfrowego podpisywania kodu. Dzięki HSM‑grade security, rozbudowanym politykom IAM oraz automatyzacji CI/CD otrzymujemy end‑to‑end rozwiązanie spełniające najbardziej rygorystyczne wymogi compliance i audytu.

Add A Knowledge Base Question !

You will receive an email when your question will be answered.

+ = Verify Human or Spambot ?