Arv*_*rve 6 code-signing-certificate azure-keyvault
我们订购了新的代码签名证书,并在基于 USB 的“硬件令牌”上获取了私钥 - 这与新的代码签名证书规则兼容,但这限制了对一台物理 PC 的访问。我们确实希望证书位于 Azure Key Vault 中,可从我们的构建代理(使用 azuresigntool)使用。
我们的供应商表示,他们将来将允许将私钥下载到 FIPS 设备,但目前还没有。
鉴于代码签名证书的新 FIPS 要求,是否有任何提供商可以颁发代码签名证书,我们可以将其安装到 Azure Key Vault 中。(代码签名证书不再允许使用 PFX 文件)
我需要一个提供商,并希望能够逐步将证书放入 Azure Key Vault。
小智 6
理论上,digicert.com 和 globalsign.com 都提供此功能。DigiCert 更快地通过了我的验证,所以我最终选择了他们。
\nDigiCert 通过聊天向我提供的订购证书的说明如下。验证过程完成后,您可以选择下载证书,您必须将其合并回 Azure Key Vault 请求中才能完成该过程。
\nDigiCert + AzureKeyVault 作为 HSM 指令\n在 Azure 端
\n要设置 Azure Key Vault,请登录到 Azure 门户并单击 \xe2\x80\x9c创建资源\xe2\x80\x9d 按钮。搜索 \xe2\x80\x9cKey Vault\xe2\x80\x9d 并按“创建”以启动并运行您的保管库:
\n请选择适合您的使用案例的设置并创建 Key Vault。\n注意: 为了符合 FIPS 140-2 标准,您应该选择 \xe2\x80\x9cPremium\xe2\x80\x9d 定价层。如果您不选择\xe2\x80\x9cPremium\xe2\x80\x9d,则存在\xe2\x80\x99s您的证书将被吊销的风险。
\n创建保管库后,请在左侧操作栏中选择 \xe2\x80\x9cCertificates\xe2\x80\x9d。\n然后单击 \xe2\x80\x9cGenerate/Import\xe2\x80\x9d 开始创建您的保管库代码签名 CSR:
\n填写您的证书名称和主题名称。主题名称应该是您的公司名称。
\n将证书颁发机构的类型设置为非集成 CA,然后选择高级策略配置:
\n在扩展密钥用法 (EKU) 字段中,请添加以下内容:\n1.3.6.1.5.5.7.3.3\n此 EKU 将证书标识为代码签名证书。\n您还应该设置 \xe2\x80\x9cExportable Private Key\ xe2\x80\x9d 为 No,\xe2\x80\x9cKey Type\xe2\x80\x9d 为 RSA-HSM。\n注意:DigiCert 颁发的所有代码签名证书都必须使用最小 3072 位密钥大小。
\n配置策略后,单击 \xe2\x80\x9cOkay\xe2\x80\x9d,然后单击 \xe2\x80\x9cCreate\xe2\x80\x9d。\n证书将显示为 \xe2\x80\x9cIn Progress证书选项卡下的 \xe2\x80\x9d 证书:
\n单击正在进行中的证书。选择\xe2\x80\x9c证书操作\xe2\x80\x9d,然后单击\xe2\x80\x9c下载 CSR\xe2\x80\x9d:
\n将 CSR 文件保存在您选择的安全位置。
\n从 CertCentral 仪表板订购 EV 代码签名证书\n为此,我们创建了以下文档,指导您成功注册 EV 代码签名证书所需的信息。\n该文档名为“订购 EV 代码签名”证书,可以在以下链接查看:https://docs.digicert.com/manage-certificates/code-signing-certificate/order-ev-code-signing-certificate/ \n注意:您必须选择配置选项在注册过程中,在 HSM 上安装以获得可用的证书,否则我们将向您提供一个无法与您的 Azure 安装程序配合使用的预配置硬件令牌。
\n| 归档时间: |
|
| 查看次数: |
2694 次 |
| 最近记录: |