EV 代码签名证书以及云 HSM
EV code signing certificate along with cloud HSM
这听起来像是一个重复的问题,但我仍然找不到正确的解决方案。可能缺乏这方面的知识。
无论如何,我正在使用 EV 代码签名证书以及来自 COMODO 提供商的 USB 设备,工作正常。
但为了让 CI 过程顺利,我们想摆脱 USB 设备并使用云 HSM。与所有供应商进行了多次通话,但不清楚从成本和解决方案方面选择哪个供应商。最后,我想导入我现有的证书和签名文件。
请分享一些要点
But just to make the CI process smooth we wanted to get rid of the USB
device and use cloud HSM.
代码签名证书存储在外部硬件令牌(USB 密钥)上。您将无法将私钥导入 HSM。
使用 AWS CloudHSM 将不允许您绕过 Comodo 的代码签名证书程序(使用或续订)。由于 Comodo EV 证书实施 Two-Factor 身份验证 (PIN),您必须使用他们的程序,这意味着必须存在硬件令牌才能进行签名。
除非您需要那种级别的密钥安全性,否则请考虑使用标准代码签名证书。
免责声明:我实际上并没有这样做,只是为了我们自己的使用而研究它。
似乎有两种方法可以做到这一点:
使用 HSM 中的 non-exportable 密钥以证书颁发者可以验证的某种方式生成您的 CSR。然后,CA 会颁发要导入到 HSM 中的证书。这因云 HSM 提供商而异。 SSL.com 可以做到这一点并在此处概述机制 https://www.ssl.com/guide/supported-cloud-hsms-document-signing-ev-code-signing/
使用云签名服务。该服务颁发证书并将其和私钥保存在其 HSM 中。这也可能更多 cost-effective,因为云 HSM 非常昂贵。您生成文件的哈希值,将其(以及一些强身份验证,如 OTP)发送到服务,他们发回签名。同样,SSL.com 有一项名为 eSigner 的服务,他们对其进行了很好的记录(包括如何使用 TOTP 秘密进行构建自动化,因此您无需每次都手动使用 OTP 应用程序)。我认为 DigiCert 的“安全软件管理器”是一项类似的服务,但我还没有证实,他们的文档确实 high-level 并且含糊不清。
这听起来像是一个重复的问题,但我仍然找不到正确的解决方案。可能缺乏这方面的知识。
无论如何,我正在使用 EV 代码签名证书以及来自 COMODO 提供商的 USB 设备,工作正常。
但为了让 CI 过程顺利,我们想摆脱 USB 设备并使用云 HSM。与所有供应商进行了多次通话,但不清楚从成本和解决方案方面选择哪个供应商。最后,我想导入我现有的证书和签名文件。
请分享一些要点
But just to make the CI process smooth we wanted to get rid of the USB device and use cloud HSM.
代码签名证书存储在外部硬件令牌(USB 密钥)上。您将无法将私钥导入 HSM。
使用 AWS CloudHSM 将不允许您绕过 Comodo 的代码签名证书程序(使用或续订)。由于 Comodo EV 证书实施 Two-Factor 身份验证 (PIN),您必须使用他们的程序,这意味着必须存在硬件令牌才能进行签名。
除非您需要那种级别的密钥安全性,否则请考虑使用标准代码签名证书。
免责声明:我实际上并没有这样做,只是为了我们自己的使用而研究它。
似乎有两种方法可以做到这一点:
使用 HSM 中的 non-exportable 密钥以证书颁发者可以验证的某种方式生成您的 CSR。然后,CA 会颁发要导入到 HSM 中的证书。这因云 HSM 提供商而异。 SSL.com 可以做到这一点并在此处概述机制 https://www.ssl.com/guide/supported-cloud-hsms-document-signing-ev-code-signing/
使用云签名服务。该服务颁发证书并将其和私钥保存在其 HSM 中。这也可能更多 cost-effective,因为云 HSM 非常昂贵。您生成文件的哈希值,将其(以及一些强身份验证,如 OTP)发送到服务,他们发回签名。同样,SSL.com 有一项名为 eSigner 的服务,他们对其进行了很好的记录(包括如何使用 TOTP 秘密进行构建自动化,因此您无需每次都手动使用 OTP 应用程序)。我认为 DigiCert 的“安全软件管理器”是一项类似的服务,但我还没有证实,他们的文档确实 high-level 并且含糊不清。