我被要求重新设计我们的构建/签名/发布流程。我对 Windows 的东西非常满意,并且我已经确定了几个可以满足我们需要的联网 HSM 产品。它们基本上直接与 CryptoAPI 集成,因此进行签名的人可以正常使用 signtool.exe。
我们目前有一个单独的 Mac 团队,他们自己构建/签名/发布。这在我们的一个 DC 中的几台 Mac Mini 上运行良好。我也想保护我们的 Mac 软件密钥,因此我试图找出如何将联网 HSM 集成到我们的 Mac 签名过程中。
我在任何地方都找不到有关此的任何好信息!所以我希望这里有人已经这样做了,可以减轻我的痛苦。
实际问题是;
1) 我可以将 HSM 与标准 Mac 代码签名工具一起使用吗?2)任何人都可以推荐上述供应商/产品吗?3) 谁能指出一些关于 Mac 代码签名和 Mac 加密基础设施内部工作的优秀文档?
干杯
BHB
I don't believe any of the major HSM vendors (nCipher, SafeNet, etc.) have any hooks into the Mac code signing tools, nor do I believe Apple exposes any. Your best bet would be to try and determine what the code signing mechanism looks like when performed by the Mac tools and then try and duplicate it yourself manually. However, off the top of my head, I don't recall seeing that the major vendors support OSX-based HSM clients out of the box. I know that SafeNet supports Java via a custom JCE provider. If there's a PKCS#11 interface you can hook into, then you may be able to leverage OpenSSL or another similar toolkit, but it will result in some work for you.