SSL.com 等证书颁发机构最近提高了代码签名证书的密钥存储标准,现在要求将证书的私钥存储在物理 USB 令牌或兼容的硬件安全模块 (HSM) 上。
自 1 年 2023 月 XNUMX 日起,所有 SSL.com 代码签名证书均已停止以可下载的 pfx 文件形式颁发。此更改符合证书颁发机构/浏览器 (CA/B) 论坛的规定 新的密钥存储要求 提高代码签名密钥的安全性。之前的规则允许组织验证 (OV) 和个人验证 (IV) 代码签名证书作为可下载文件颁发。由于新要求仅允许使用加密的 USB 令牌或基于云的 FIPS 兼容硬件设备来存储证书和私钥,因此预计代码签名密钥被恶意行为者窃取和滥用的情况将大大减少。
虽然使用 USB 令牌在与现代 CI/CD 管道集成方面带来了挑战,并且在办公室管理物理 HSM 可能很麻烦,但存在一种有效的替代方案。 Google Cloud 提供了一个实用的解决方案:在其 HSM 服务上租用单个密钥槽。这种方法不仅具有成本效益,而且符合最新的 FIPS 140-2 2 级合规标准,同时消除了物理设备管理的需要。本文将指导您完成此中间解决方案的设置过程。
SSL.com 的 EV 代码签名证书 在全球范围内受到信任,可以对软件代码进行数字签名 带有安全数字签名。
了解使用基于云的 HSM 的代码签名过程
要掌握利用基于云的硬件安全模块 (HSM) 的代码签名过程的本质,检查以下组件很有用:- 代码签名证书:由受信任的证书颁发机构 (CA) 颁发的数字证书,软件开发人员使用它对其软件、脚本和可执行文件进行数字签名。该证书充当数字签名,用于验证开发人员或发布者的身份,并确保代码自最初签名以来没有被更改或泄露。
- Google Cloud:提供支持安全软件开发和部署的服务,包括用于安全生成和管理代码签名过程中使用的加密密钥的基础设施。
- 用于密钥保护的 Google Cloud HSM:内置于 Google Cloud 基础架构内的强大硬件安全模块,致力于保护您的私钥免遭未经授权的访问。
- 签名工具:旨在对软件程序和应用程序进行数字签名的软件应用程序或实用程序。此数字签名向最终用户保证软件自开发者或发行商签名以来没有被更改或泄露。
- 时间戳颁发机构 (TSA):一种受信任的第三方服务,通常由您的证书颁发机构 (CA) 管理,其任务是证明代码是在用于签名的数字证书的有效期内签名的,即使该证书稍后过期或被撤销。
注册谷歌云账户
配置设置的第一步涉及建立一个帐户 谷歌云平台。一旦您的帐户处于活动状态,就需要创建一个新项目并 启用计费。必须提供您的付款信息才能继续进行设置。生成您的密钥对, CSR、及证明声明
在颁发代码签名或 Adobe 信任的文档签名证书之前,SSL.com 需要确认客户的私有签名密钥是在经过 FIPS 140-2 2 级(或更高级别)认证的设备上生成并安全地包含在该设备中。该设备确保密钥无法被提取,验证这种保护称为证明。 Google 的 Cloud HSM 利用 Marvell(以前的 Cavium)制造的设备,能够生成加密密钥的签名证明声明。 SSL.com 可以在颁发文档签名或代码签名证书之前验证这些声明。有关生成密钥对和证明声明的指导,请参阅 Google 的 Cloud Key Management 文档: 获得密钥对后, CSR,并准备好证明声明,提交给SSL.com进行验证和颁发证书。这 开源工具 由 GitHub 用户提供 遮罩 用于创建一个 CSR 使用 Google Cloud HSM 的私钥对其进行签名可能特别有用。 SSL.com 对 Google Cloud HSM 证明收取 500.00 美元的费用。此外,我们还根据年度最大签名操作数为云 HSM 平台上使用的证书提供各种定价级别。有关详细定价信息,请参阅我们的 Cloud HSM定价层 指南。 可以使用以下方式进行证明 自带设备 当 HSM 所有者选择在没有 SSL.com 服务的情况下进行密钥生成证明时,使用(自带审核员)方法。此方法适用于合规 HSM 的任何密钥生成仪式 (KGC),甚至是 SSL.com 证明未涵盖的密钥生成仪式。 BYOA 需要精心准备,以避免密钥被拒绝的风险。此类问题需要重复仪式,从而产生额外费用和延误。为了防止这些问题,SSL.com 的客户支持和验证专家会在 KGC 之前主动为客户提供指导。订购您的代码签名证书
所有 SSL.com 代码签名证书都可以购买 1-3 年期限的证书,购买期限较长的证书可享受折扣,并且对于期限较长的证书只需进行一次验证过程,非常方便。 以下链接文章详细介绍了如何订购代码签名证书并导航这些选项: 代码和文档签名证书的订购流程. 如需定制解决方案、大批量折扣、外部 HSM 选项、官方报价或任何其他指导,请联系 sales@ssl.com。接受审查程序以获得证书
除了生成密钥对之外, CSR和证明声明,SSL.com 需要特定的文件和注册信息,然后您才能获得代码签名证书。以下链接文章详细介绍了审查过程: 文档签名、代码签名和 EV 代码签名证书的验证流程.SSL.com 的 EV 代码签名证书 在全球范围内受到信任,可以对软件代码进行数字签名 带有安全数字签名。