Sai*_*irl 4 code-signing certificate ev-certificate
我的团队使用证书来签署我们的 Windows 应用程序。不幸的是,证书即将过期,我们需要一个新的。我们希望避免在安装使用新证书签名的应用程序时弹出 SmartScreen,并且我读到 EV 证书具有内置声誉。微软提供了出售代码签名证书的权威机构列表,但据我了解,所有这些都将是其中一个开发人员必须保留在家里的物理设备。我们不希望这样。是否有可能在云上拥有我们都可以使用的东西?
是的,可以在云中进行 EV 代码签名,而无需您随身携带物理加密狗。事实上,我们在我的公司就是这么做的。具体方法如下:
对于#1,有多种选择,包括AWS CloudHSM、AWS KMS、Azure Key Vault、Google KMS、Entrust 的 nShield 即服务、Thales 的 DPoD等。它们都有不同的优缺点,因此您需要提前了解自己的技术要求的时间。需要明确了解的两项是您使用的签名工具所需的签名算法列表以及您的 CA 的证明要求。
一些工具(例如signtool)允许您指定要使用的哈希算法。不幸的是,其他工具不给您选择,您只能使用硬编码的哈希算法。两个例子是 Apple 的 productssign,目前在其生成的签名之一中使用 SHA-1,以及 Microsoft 的 VBA Macro 签名,其在底层使用 MD5。并非所有 KMS 产品都支持所有这些算法,在它们支持之前,您将无法使用这些算法进行签名,并且您的密钥也没有用(大多数仅支持 SHA-256、SHA-384 和 SHA-512) ,尽管 Azure Key Vault 确实支持RSNULL,这允许您解决这个问题)。
对于密钥证明,根据您的 CA,您可能需要为链接到硬件信任根的密钥提供证明,只有部分 HSM/KMS 提供商支持该密钥。其他 CA 可能允许您远程向他们展示您的云环境(例如,通过 Zoom 或其他方式),以表明密钥在硬件中受到保护,而其他 CA 则只要求您签署一份文件,说明您的密钥受到保护。
价格是下一个明显的因素。有些 KMS 选项按 HSM 运行的小时(或其他时间单位)收费,而大多数 KMS 选项对每个密钥和每次使用收取少量费用。一般来说,如果您只有少量密钥,KMS 选项之一将是更便宜且更容易的选择。但一旦密钥数量增加,专用 HSM 可能会变得更具成本效益。
选择加密设备后,您需要将签名工具与其集成。这是通过加密提供商完成的。提供商对于您所登录的平台来说是唯一的。例如,在 Windows 上,您需要 KSP(或旧系统的 CSP),Java/Android 需要 JCE 提供程序,macOS 使用 CTK 提供程序,OpenSSL 使用 Engine 框架(尽管在最新版本中进行了更改),Linux 使用GPG 和 PKCS11 等的混合。某些 HSM 提供部分加密提供程序,但不是全部。KMS 选项根本没有它们,您只能编写自己的代码。
然后是身份验证/授权、性能、审计等问题。您最终会发现自己身处困境,您希望通过身份提供商(例如,Active Directory、Azure 等)进行身份验证/验证,您希望客户端散列来提高性能,您希望满足各种审核要求等出于这些原因以及其他原因,我们使用名为GaraSign 的工具来完成所有这一切,它提供了我们开箱即用所需的一切。这是他们的代码签名页面。