如何解决是否可以在云上拥有应用程序 EV 代码签名证书?
我的团队使用证书来签署我们的 Windows 应用程序。不幸的是,证书即将到期,我们需要一个新的。 我们希望避免在安装使用新证书签名的应用程序时弹出的 SmartScreen,我正在阅读 EV 证书具有内置声誉。 Microsoft provides 出售代码签名证书的机构列表,但据我所知,所有这些都是开发人员必须在家中保留的物理设备。 我们不想那样。是否有可能在云端拥有我们所有人都可以使用的东西?
解决方法
是的,可以在云中进行 EV 代码签名,而无需您随身携带物理加密狗。事实上,我们在我的公司就是这样做的。方法如下:
- 在基于云的 HSM 或 KMS 中创建新的签名密钥
- 将您的签名工具与基于云的 HSM 或 KMS 集成
对于#1,有几个选项,包括AWS CloudHSM、AWS KMS、Azure Key Vault、Google KMS、Entrust's nShield as a Service、Thales' DPoD 等。它们都有各种优点和缺点,因此您需要提前了解您的技术要求。必须知道的两项内容是您使用的签名工具所需的签名算法列表以及您的 CA 的证明要求。
一些工具,例如 signtool,允许您指定要使用的哈希算法。不幸的是,其他工具没有给你一个选择,你被硬编码的哈希算法困住了。两个例子是 Apple 的 productsign,它目前在其生成的签名中使用 SHA-1,而 Microsoft 的 VBA Macro 签名在幕后使用 MD5。并非所有 KMS 产品都支持所有这些算法,并且在它们支持之前,您将无法使用这些算法进行签名,您的密钥也没有用处(大多数仅支持 SHA-256、SHA-384 和 SHA-512 ,尽管 Azure Key Vault 确实支持 RSNULL,这可以让您解决这个问题)。
对于密钥证明,根据您的 CA,您可能需要为您的密钥提供证明,该证明链接到硬件信任根,只有部分 HSM/KMS 提供商支持。其他 CA 可能允许您远程向他们展示您的云环境(例如,通过 Zoom 或其他方式)以表明密钥在硬件中受到保护,而其他 CA 只要求您签署一份声明您的密钥受到保护的文件。
价格是下一个明显的因素。有些按 HSM 开启的小时(或其他时间单位)收费,而大多数 KMS 选项对每个密钥和每次使用收取少量费用。通常,如果您只有少量密钥,则 KMS 选项之一将是更便宜、更容易的选择。但是,一旦密钥数量增加,专用 HSM 可能会变得更具成本效益。
选择加密设备后,您需要将签名工具与其集成。这是通过加密提供程序完成的。提供商对于您登录的平台来说是独一无二的。例如,在 Windows 上,你需要一个 KSP(或遗留系统的 CSP),Java/Android 需要一个 JCE 提供者,macOS 使用一个 CTK 提供者,OpenSSL 使用引擎框架(尽管在他们的最新版本中有所改变),Linux 使用了一个GPG 和 PKCS11 等的混合。一些 HSM 提供了一些加密提供程序,但不是全部。 KMS 选项根本没有它们,您只能编写自己的代码。
然后是身份验证/授权、性能、审计等问题。您最终会发现自己要通过身份提供者(例如 Active Directory、Azure 等)进行身份验证/身份验证,需要客户端散列以提高性能,需要各种审计要求等. 出于这些和其他原因,我们使用名为 GaraSign 的工具来完成所有这些工作,它提供了我们开箱即用所需的一切。这是他们的code signing page。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。