我的团队使用证书来签署我们的 Windows 应用程序。不幸的是,证书即将到期,我们需要一个新的。我们希望避免在安装使用新证书签名的应用程序时弹出 SmartScreen,我正在阅读 EV 证书带有内置声誉。微软提供了一份销售代码签名证书的机构列表,但据我了解,所有这些都将是开发人员必须在家中保留的物理设备。我们不希望那样。是否有可能在云上拥有我们都可以使用的东西?
2 回答
是的,可以在云中进行 EV 代码签名,而无需您随身携带的物理加密狗。事实上,我们在我的公司这样做。方法如下:
- 在基于云的 HSM 或 KMS 中创建新的签名密钥
- 将您的签名工具与基于云的 HSM 或 KMS 集成
对于 #1,有多种选择,包括AWS CloudHSM、AWS KMS、Azure Key Vault、Google KMS、Entrust 的 nShield 即服务、Thales 的 DPoD等。它们各有利弊,因此您需要提前了解您的技术要求的时间。需要明确知道的两项是您使用的签名工具所需的签名算法列表和您的 CA 的证明要求。
一些工具(如 signtool)允许您指定要使用的哈希算法。不幸的是,其他工具没有给你一个选项,你被硬编码的哈希算法困住了。两个例子是 Apple 的 productsign,它目前在引擎盖下使用 SHA-1 作为它生成的签名之一,以及 Microsoft 的 VBA 宏签名,它在引擎盖下使用 MD5。并非所有 KMS 产品都支持所有这些算法,并且在它们支持之前,您将无法使用这些算法进行签名,并且您的密钥将无用(大多数仅支持 SHA-256、SHA-384 和 SHA-512 ,尽管 Azure Key Vault 确实支持RSNULL,它允许您解决这个问题)。
对于密钥证明,根据您的 CA,您可能需要为您的密钥提供链接到硬件信任根的证明,只有部分 HSM/KMS 提供程序支持。其他 CA 可能允许您远程向他们展示您的云环境(例如,通过 Zoom 或其他方式)以表明密钥在硬件中受到保护,而其他 CA 只需要您签署一份说明您的密钥受到保护的文件。
价格是下一个明显的因素。一些在 HSM 开启时按小时(或其他时间单位)收费,而大多数 KMS 选项对每个密钥和每次使用收取少量费用。通常,如果您只有少量密钥,则 KMS 选项之一将是更便宜、更容易的选择。但是,一旦密钥数量增加,专用 HSM 可能会变得更具成本效益。
选择加密设备后,您需要将签名工具与其集成。这是通过加密提供程序完成的。提供商对于您登录的平台是独一无二的。例如,在 Windows 上,您需要 KSP(或遗留系统的 CSP),Java/Android 需要 JCE 提供程序,macOS 使用 CTK 提供程序,OpenSSL 使用引擎框架(尽管在最新版本中有所更改),Linux 使用GPG 和 PKCS11 等的混合。一些 HSM 提供了一些加密提供程序,但不是全部。KMS 选项根本没有它们,您只能编写自己的代码。
然后是身份验证/授权、性能、审计等问题。您最终会发现自己身处想要通过身份提供者(例如,Active Directory、Azure 等)进行身份验证/身份验证的船上,您希望客户端散列以提高性能,您需要各种审计要求等. 出于这些原因,以及其他原因,我们使用了一个名为GaraSign的工具来完成所有这些工作,它提供了我们需要的一切开箱即用的东西。这是他们的代码签名页面。
SSL.com 还为其 EV 证书提供远程签名。这是一项名为 eSigner 的付费服务。