Od verzie systému 3.2.0 inštalátor inštalačných balíčkov (/usr/sbin/installer) vyžaduje, aby boli inštalačné balíčky podpísané platným certifikátom. Podpisové certifikáty vydáva IT oddelenie, na základe žiadosti riaditeľov divízie. Podpísaný balíček obsahuje vo svojom vnútri samotný podpis a podpisový certifikát (jeho verejnú časť). Pred samotnou inštaláciou je overená platnosť tohto certifikátu voči certifikačnej autorite a CRL listu (Certificate Revocation List – zoznam zrušených certifikátov). Následne je overený priložený podpis voči platnému certifikátu. Až po úspešnom overení podpisu inštalačného balíčka je spustená jeho inštalácia. Vydané certifikáty majú prakticky nekonečnú platnosť, je ich však možné rušiť pridaním do zoznamu zrušených certifikátov (CRL list), ktorý sa nahrá do každého zariadenia. CRL list je podpísaný certifikačnou autoritou a kontroluje sa aj jeho sekvenčné číslo (starším zoznamom nemôžeme prepísať novší). CRL list generuje a spravuje IT oddelenie.

Na podpísanie inštalačného balíčka slúži skript packagesign (packagesign.gz). Pre jeho úspešné vykonanie potrebujeme inštalačný balíček (resp. akákoľvek binárka, dokument a pod.) a platný podpisový certifikát vydaný IT oddelením. Podpisový certifikát sa skladá z dvoch súborov: privátneho a verejného certifikátu. Privátny certifikát udržujeme v tajnosti, nesmie dojsť k jeho úniku. Privátnym certifikátom sa podpisuje (generuje súbor s podpisom) inštalačný balíček. Verejným certifikátom sa verifikuje platnosť podpisu. Podpis sa vykonáva:

packagesign <cesta k podpisovanému balíčku> <cesta k privátnemu certifikátu *.key> <cesta k verejnému certifikátu *.crt> <názov/cesta výstupného podpísaného balíčka>

Napríklad:

packagesign  tgz_1261314.tgz  vesnacert.key vesnacert.crt tgz_1261314.tgz.signed