Sectigo/Comodo 代码签名证书遵循相同的审核流程。 根据您申请的验证级别,您必须提交必要的文件,如政府颁发的身份证件和正式注册文件,以便在短时间内验证贵组织的身份和存在。 本指南涵盖代码签名证书的组织验证、扩展验证和个人验证。 使用下面的锚链接在各部分之间导航。
组织验证(OV)
组织验证(OV)可验证申请代码签名证书的公司或组织的合法性和真实性。 它确保申请者是在公认的司法管辖区合法注册和运营的。
证书颁发机构(CA)通过与官方数据库和文件进行核对,确认组织的名称、地址和合法存在,从而确定申请人的身份。
通过验证组织机构,代码签名证书可向用户保证,他们下载或执行的软件来自信誉良好、经过验证的来源,从而防止出现 “未知发布者“警告,降低恶意软件或未经授权的篡改风险。
通过代码签名证书的组织验证要求如下:
- 身份验证
- 组织认证
- 当地存在
- 电话验证
- 最后核实电话
下面介绍如何完成每个步骤:
1.身份验证
Sectigo (同样适用于 Comodo 代码签名证书)实施身份验证,以确保申请人声称的身份是合法的。 它要求向 Sectigo 提交政府签发的带有照片的身份证件,如护照、驾照、个人身份证或军人证,以便进行彻底审查。
要继续进行身份验证,请在 Sectigo 上开票,附上附有照片的身份证件和订单号以供验证。
2.组织认证
确保贵组织的合法性和活跃状态是获得组织验证代码签名证书的主要要求。 这一过程被称为 “组织验证”,包括证书颁发机构(CA)验证贵公司是否是在指定地点合法注册的实体。
在大多数情况下,CA 会尝试使用在线政府数据库来验证贵公司的身份。 他们会将您提供的信息与当地市、州或国家的官方网站进行交叉比对,以显示商业实体注册的详细信息。
政府数据库中列出的信息必须与您提交给 CA 的详细信息完全一致,以免延误证书签发。 如果在线政府数据库不可用或缺乏最新记录,CA 将使用以下替代方法之一:
正式注册文件
您可以提交证明贵组织合法存在的正式注册文件。 这些文件可能包括公司章程、特许执照或当地政府颁发的 DBA(Doing Business As)声明。
邓白氏
另一种方法是通过Dun & Bradstreet(一家专门提供组织财务报告的公司)。 CA 可以接受全面的 DUNS 信用报告,以验证与贵公司相关的具体细节,从而满足组织认证要求。
法律意见书
您还可以选择获取法律意见书。 该文件由一名律师或会计师为贵组织的真实性和合法性提供担保。 虽然获取法律意见书可能需要一些努力,但在某些情况下,这是证明身份的唯一途径。 Sectigo 提供法律意见书样本,以加快处理过程(单击下面的链接可将样本表格下载到您的默认下载文件夹):
如果您提供准确和最新的详细信息,组织认证就会很简单。 如果使用在线政府数据库的尝试失败,替代方法涵盖 CA 运行所在的任何司法管辖区。
3.地点存在
获得组织验证代码签名证书的另一个要求是证明本地存在。 它证明贵公司在其注册地点有实体存在。
什么是本地存在?
本地存在(Locality Presence)允许证书颁发机构(CA)验证您的法律实体(组织)是否实际存在于其注册的国家或州。 CA 确认您地址中提到的地点(城市、州、省等),而不是具体的街道地址。
通常情况下,核证机构通过查询在线政府数据库,并根据您在申请过程中提供的信息核对注册详细信息,如地址中的城市/州。 如果详细信息匹配,您就成功满足了这一要求。
与 “组织认证 “类似,如果不能选择 “在线政府数据库 “或所提供的信息不一致,也有几种替代方法可供选择:
正式注册文件
您可以向 CA 提交当地政府的文件。 这些文件,如公司章程、特许执照或 DBA 声明,可作为您所提供信息的官方验证。
邓白氏
Dun & Bradstreet 提供公司的财务报告。 CA 认为他们报告中的信息非常可靠。 通过提交一份全面的 DUNS 信用报告,您可以让 CA 验证与贵组织相关的实际地址。
法律意见书
法律意见书有时也称为专业意见书或 POL,是一份由律师或会计师为您的企业合法性提供担保的文件。 虽然获取此类信件可能具有挑战性,而且可能花费不菲,但它们可以作为您实际地址的有效证明。
如果 CA 试图通过在线政府数据库核实当地存在证明不成功,任何替代方法都将有效。
4.电话核实
电话验证要求提供与贵组织相关的有效电话号码。
什么是电话验证?
证书颁发机构 (CA) 必须确保您在可接受的电话簿中拥有可验证的电话号码。 它应与您在注册时提供的信息一致,包括经过验证的企业名称和实际地址。 CA 可以通过以下方法验证您的电话:
正式注册文件
为了验证这一点,CA 首先会检查您所在市、州或国家的在线政府数据库。 他们会确认所列电话号码是否与相关姓名和地址相符。 如果一切都准确无误,您就成功达到了这一要求。
不过,由于大多数政府数据库都不显示电话号码,因此可以采用其他方法与 CA 核实这些信息。
第三方目录
CA 接受其他目录来验证您的电话号码。 通常情况下,CA 会参考 Dun and Bradstreet 信用报告等信誉良好的来源,但有些名单可能不符合条件。
如果 Sectigo 给您的回复是您的 DUNS 列表不包含电话号码,那么您需要联系 Dun & Bradstreet,要求他们 “将您公司的电话号码添加到他们的企业名录和报告中”。
法律意见书
如果以上两种方法都不适合您,那么验证电话号码的第三种也是最后一种方法就是请注册会计师(CPA)、拉丁文公证人或律师(Lawyer)撰写、签署并向 Sectigo 发送一封信,在信中确认您的公司名称、地址和电话号码。
5.最后核实电话
组织验证流程的最后一步非常简单。 证书颁发机构 (CA) 将与您或指定的申请人(通常是站点管理员)发起验证呼叫,以验证订单详细信息。
最后的验证电话将确认订单信息,并加快证书的签发。 为此,核证机构将使用与贵机构相关的经核实的电话号码联系您或指定申请人。 请放心,过程很简单。 请确保您有空,因为通话时间只需几分钟。
如果指定的电话号码无法直接连接到您的办公桌,CA 将采用其他方法联系您。
替代方法
- 交互式语音应答 (IVR) 系统:CA 将尝试通过 IVR 与您联系。 请放心,电话那头一定会有人。 如果您的分机已列出或您已提供分机,或者您的电话可以通过 IVR 接入,则一切就绪。
- 转接或替代号码:在没有分机或 IVR 的情况下,CA 可以要求接线员(或接听贵公司电话的人员)转接电话或提供您的直拨号码。 无论哪种方法都可以让 CA 与您或指定申请人取得联系。
连接后,回答他们的问题,就完成了最后的验证步骤。
现在,只需 CA 签发代码签名证书即可。 您将通过电子邮件收到进一步说明,包括发货跟踪信息和设置证书令牌所需的其他步骤。
扩展验证 (EV)
恭喜您获得扩展验证代码签名证书! 虽然这个过程看起来很吓人,但其实很简单。 我们为您的每一步提供支持,确保审批顺利快捷。
现在,我们来讨论一下获取扩展验证(EV)证书的要求。 这些要求在不同的证书颁发机构之间是一致的,这要归功于 CA/B Forum(由证书颁发机构和主要网络浏览器公司组成的监管机构)。 他们制定了以下基线要求,申请人必须满足这些要求才能获得有效的电动车证书:
- 报名表:您需要填写证书申请所需的表格。
- 组织认证:将对贵组织的合法性进行验证,确保其为真正的商业实体。
- 业务存在:您必须证明贵组织已注册并积极运作至少三年。
- 实际地址:为便于核实,需要提供实际经营地址。
- 电话验证:贵组织的联系电话将通过当地政府或第三方公共数据库进行验证。
- 最后核实电话:CA 将致电您确认细节并验证您的组织。
这些要求旨在将合法企业与其他企业区分开来,并保持电动车证书系统的完整性。 如果您是一家真正的企业,拥有实体办公室、电话线和其他业务必需品,您就可以顺利通过扩展验证。
1.报名表
有两种注册表可供选择,它们只要求提供贵组织的基本信息和负责证书申请的人员(即组织联系人)的详细联系信息。
为了简化流程,您可以提前准备好登记表,但请记住,您需要供应商订单 ID 号才能提交表格。 您可以在下面下载这两份表格:
填写完表格并收集了所有必要信息后,就可以提交了。 Sectigo 提供一个验证票务系统,您可以在该系统中上传这些信息。 提交后,您将收到一个案例 ID 编号,如果您需要联系他们的支持团队,可将此编号作为参考。
组织联系人
在整个扩展验证过程中,您将被称为组织联系人。 这意味着在认证过程中,您是贵公司的联系人。
EV 代码签名证书可使您的软件绕过安全警告,并消除安装过程中不必要的提示,从而带来更流畅、更无缝的用户体验。 注册表是核实您作为组织联系人是否有权代表贵组织行事的第一步。
虽然这听起来很严格,但归根结底是为了公司的利益。 只要您是获得授权的员工,就不必担心。 这项措施可防止个人冒充员工,为欺骗性软件申请证书。 您的组织和证书颁发机构都希望避免此类事件的发生。
注册表中应包括哪些信息?
注册表的重点是收集有关贵组织和组织联系人的详细信息。 您需要提供组织名称、组织联系人的全名、正式职务、手写签名以及签名日期和地点。
- 贵组织名称
- 贵组织联系人的正式头衔
- 贵组织联系人的全名
- 组织联系人签名
- 签署日期和地点
- 贵机构人力资源部的详细联系方式,以核实申请购买 EV 代码签名证书的人是公司的全职员工
请注意,不接受数字签名或盖章签名。 因此,您需要打印出表格,手动签名,然后扫描或传真给证书颁发机构。 虽然邮寄也是一种选择,但我们强烈建议不要这样做,因为这将大大延误证书的签发。
2.组织认证
组织认证的目的是验证贵公司的合法注册。 如果您的企业以商号、假名或 DBA(Doing Business As)经营,请确保所有信息都是准确和最新的。
通常情况下,CA 依靠在线政府数据库来验证您的组织。 他们会查看您所在国家或州显示企业实体注册状态的官方网站。 这些数据库中列出的详细信息必须与您在注册表中提供的信息一致。 任何差异都可能导致证书发放的延误。
不过,如果在线资源不足以进行组织身份验证,也可以采用其他方法:
- 正式注册文件:您可以向 CA 提供由当地政府签发的正式注册文件。 其中包括公司章程、特许执照或 DBA 声明。 这些文件可以证明贵组织是一个真正的、公认的商业实体。
- 法律意见书 (POL):另一种选择是获取法律意见书,也称为专业意见书。 如果贵公司拥有内部法律专家,这种方法尤其方便。 由执业律师或专业会计师签发的 POL 可证明贵公司的合法性,并满足除注册表之外的所有 EV 证书要求。 有关 POL 的更多信息和样本,请查看Sectigo 的指南。
避免常见的陷阱,如注册信息过时或过期、多个企业名称列名不准确、证书或注册落款信息不完整等,以便顺利、快速地办理手续。
3.业务存在
证明业务存在可确保贵公司已开展业务至少三年。 如果您的公司还没有达到三年的期限,也可以使用其他方法来验证您的公司是否存在。
验证机构 (CA) 可以通过查询显示公司成立日期的可靠在线政府数据库,来验证已成立的公司是否存在。 如果您所在的城市、州或国家保存有全面的记录,您无需任何文书工作即可满足这一要求。
但是,如果贵公司的运营地在线记录有限或运营时间不足三年,则应使用四种替代方法之一来证明贵公司的运营存在:
- 正式注册文件:如果贵公司已运营三年以上,您可以提交当地政府颁发的各种文件,如公司章程、特许执照或 DBA 声明。
- 邓白氏公司Dun & Bradstreet 是一家提供信用报告的知名公司。 无论贵公司的成立时间长短,如果有 Dun & Bradstreet 信用报告,CA 都可以利用它来验证贵公司是否存在。
- 银行确认函:无论贵公司已运营多久,在当地金融机构开立的有效支票账户都足以证明其业务存在。 您可以从银行获得一封证明此信息的信函,并将其提交给 CA。
- 专业意见书 (POL):由律师或会计师出具的确认贵公司合法性的公证信函(即专业意见书)可作为公司存在的证据。
使用这些选项中的任何一个,都可以满足 “业务存在 “要求,并更接近于获得扩展验证代码签名证书。
4.实际地址
证书颁发机构 (CA) 通过各种方法验证贵公司的街道地址、城市、州和国家。 首先,CA 会在在线政府数据库中查询贵公司的公开地址,并与证书和注册表上的详细信息进行比对。 不接受邮政信箱和境外注册。 但是,如果政府数据库不包含所需的信息,也有以下替代验证方法:
- 官方注册文件:您可以提交当地政府颁发的正式注册文件,如公司章程、特许执照或 DBA 声明。
- Dun & Bradstreet:第三方信用报告(如 Dun & Bradstreet)也可用于核实贵公司的实际地址。 CA 认为 DUNS 报告在审查组织方面非常可靠。
- 法律意见书 (POL):从律师或会计师处获得一份签名的法律意见书(也称专业意见书)。 虽然在没有内部法律或会计支持的情况下,获取 POL 可能需要花费更多精力,但它满足了扩展验证码签名流程中除注册表之外的所有要求。
如果 CA 的在线政府数据库搜索失败,任何其他方法都可以证明贵公司的实际地址,并促进扩展验证代码签名证书的签发。
5.电话核实
您的组织必须在可接受的电话号码簿中有一个有效电话号码,并与您的证书和注册表上的信息相符。
最初,CA 会尝试使用在线政府数据库来验证电话号码,如果不成功,您可以使用两种替代方法来验证您的电话号码:
- Dun & Bradstreet:可接受 Dun & Bradstreet 信用报告。 CA 认为邓白氏在扩展验证审核过程中编制的信息是可靠的。 DUNS 信用报告还可用于核实实际地址和业务存在。
- 法律意见书 (POL):如果贵公司的电话号码未公开上市,则可使用法律意见书,也称专业意见书 (POL)。 这份文件由律师或会计师签署,确认贵公司的合法性。 除注册表外,POL 满足所有要求。
通过使用这些替代方法,即使在线政府数据库不包含所需信息,您也可以完成扩展验证代码签名证书的电话验证过程。
6.最后核实电话
现在,只剩下简短的对话来核实所提供的信息了。 虽然验证电话一般不会有什么问题,但也可能会出现一些潜在的挑战。
例如,贵公司的验证电话号码可能无法直接连接到您的办公桌,因为它通常是为一般查询而设置的。 别担心,CA 可以通过输入您的分机号或使用交互式语音应答 (IVR) 系统轻松联系到您。
此外,CA 可能会寻求贵公司电话接待员或接线员的协助,将电话转接到您的线路上。 CA 甚至可能会联系同事以获取您的详细联系信息,并使用经过验证的电话号码发起呼叫。
它将尽一切努力与您联系,确保过程顺利。 您所要做的就是及时接听电话,避免转到语音信箱。 延迟验证调用只会延长 EV 代码签名证书的签发时间,我们知道这不是任何人都希望看到的。
提供准确信息并及时参加验证电话会议,您就离获得 EV 代码签名证书更近了一步。
下一步该怎么做?
完成扩展验证流程中的所有步骤后,CA 将处理您的订单,并将 USB 设备发送到您的公司地址。 发货时,您会收到一封发货确认电子邮件。
个人验证(IV)
个人验证与组织验证的不同之处在于,它验证的是单个开发人员的身份,而不是一个公司的身份。 要以个人身份获得 Code Singing 证书,必须向证书颁发机构提供身份证明。 您可以通过两种方式来做到这一点:
照片 ID
对于此选项,您需要向证书颁发机构提供两份文件:
- 政府颁发的带照片的身份证件副本,如驾照、护照、国民身份证或军人证。 身份证上应显示您的姓名和地址,其详细信息必须与您的证书申请上的详细信息一致。
- 一张手持带照片身份证件的照片(”自拍”)。 您的脸和身份证上的信息应清晰可见,以便与身份证复印件进行对比。
您可以向Sectigo 的验证支持部门提交这些文件。 选择 “验证支持 “作为案件类型,并为案件选择适当的原因。 附上所需文件并填写表格。 您将收到带有案件编号的回复,您可以在今后的通信中参考该编号。
面对面
如果您带照片的身份证件上没有地址,或者地址与您的订单不符,则适合使用这种验证方法。 它涉及额外的文件,并要求您到您所在地区的授权公证处签署和公证文件。 需要以下公证文件:
- 政府颁发的带照片的身份证件,如驾照、护照或军人证。
- 您名下的财务文件,如有效的信用卡或借记卡、抵押声明或银行对账单。
- 您名下有地址的非财务文件,如固定电话账单(非手机账单)、近期公用事业账单、租赁付款声明、出生证明、税单或法院命令文件。
- 个人陈述申报表。 (访问下载链接)。
准备好所需文件后,通过开立票据将所有表格直接提交给证书颁发机构的验证团队。 选择 “验证支持 “作为案件类型,并为案件选择适当的原因。 附上必要的文件并填写表格。 您将收到一份附有案件编号的回复,供今后参考。
验证后,一旦您向证书颁发机构的验证团队提交了文件,他们将对文件进行审查,并通过电子邮件与您联系,以便进一步沟通。 一旦证书获得批准和签发,您将收到一封包含运输信息的电子邮件。
结论
获取 Sectigo/Comodo 代码签名证书需要经过全面的审核过程,以验证申请组织或个人的合法性和真实性。
对于组织验证,需要进行身份和组织认证、地点存在、电话确认和最后的验证呼叫。 扩展验证要求填写注册表、组织认证、业务存在、实际地址证明、电话验证以及最后的确认电话。
个人验证需要通过政府颁发的带有照片的身份证件和自拍照或公证文件来证明身份。 所有步骤完成后,CA 将签发代码签名证书。
