这听起来像是一个重复的问题,但我仍然找不到正确的解决方案。也许缺乏这个领域的知识。
无论如何,我正在使用 EV 代码签名证书以及 COMODO 提供商提供的 USB 设备,工作正常。
但为了使 CI 过程顺利,我们希望摆脱 USB 设备并使用云 HSM。与几乎所有供应商进行了多次通话,但不清楚从成本角度和解决方案角度来看应该选择哪个供应商。最后,我想导入现有的证书和签名文件。
请分享一些要点
但是为了让 CI 过程顺利,我们想摆脱 USB 设备并使用云 HSM。
代码签名证书存储在外部硬件令牌(USB 密钥)上。您将无法将私钥导入 HSM。
使用 AWS CloudHSM 将不允许您绕过 Comodo 的代码签名证书程序(使用或续订)。由于 Comodo EV 证书实施双因素身份验证 (PIN),因此您必须使用他们的程序,这意味着必须提供硬件令牌才能签名。
除非您需要该级别的密钥安全性,否则请考虑标准代码签名证书。
免责声明:我实际上并没有这样做,只是为了我们自己的使用而研究它。
似乎有两种方法可以做到这一点:
以可由证书颁发者验证的某种方式在 HSM 中使用不可导出的密钥生成 CSR。 然后,CA 颁发要导入到 HSM 中的证书。 这因云 HSM 提供商而异。 SSL.com 可以做到这一点,并在此处概述了该机制 https://www.ssl.com/guide/supported-cloud-hsms-document-signing-ev-code-signing/
使用云签名作为服务。 该服务颁发证书并将其和私钥保存在其 HSM 中。 这也可能更具成本效益,因为云 HSM 非常昂贵。 您生成文件的哈希值,将其(以及一些强身份验证(如 OTP))发送到服务,他们会发回签名。 同样,SSL.com 有一项名为 eSigner 的服务,他们对此进行了详细记录(包括如何使用 TOTP 密钥进行构建自动化,这样您就不需要每次都手动使用 OTP 应用程序)。 我认为 DigiCert 的“安全软件管理器”是类似的服务,但我还没有验证,他们的文档确实非常高级且模糊。
我提供基于 HSM 的 EV 代码签名证书,您不需要任何 USB 令牌即可使用证书,您可以将其导出到任何地方