我的团队使用证书来签署我们的 Windows 应用程序。不幸的是,证书即将到期,我们需要一个新的。 我们希望避免在安装使用新证书签名的应用程序时弹出 SmartScreen,我正在阅读 EV 证书带有内置声誉。 微软provides 一份销售代码签名证书的机构列表,但据我了解,所有这些都将是开发人员必须在家中保留的物理设备。 我们不希望那样。是否有可能在云上拥有我们都可以使用的东西?
【问题讨论】:
标签: certificate code-signing ev-certificate
是的,可以在云中进行 EV 代码签名,而无需您随身携带的物理加密狗。事实上,我们在我的公司这样做。方法如下:
对于#1,有几个选项,包括AWS CloudHSM、AWS KMS、Azure Key Vault、Google KMS、Entrust's nShield as a Service、Thales' DPoD 等。它们都有各种优缺点,所以你需要知道提前满足您的技术要求。需要明确知道的两项是您使用的签名工具所需的签名算法列表以及您的 CA 的证明要求。
signtool 等一些工具允许您指定要使用的哈希算法。不幸的是,其他工具没有给你一个选项,你被硬编码的哈希算法困住了。两个例子是 Apple 的 productsign,它目前在引擎盖下使用 SHA-1 作为它生成的签名之一,以及 Microsoft 的 VBA 宏签名,它在引擎盖下使用 MD5。并非所有 KMS 产品都支持所有这些算法,并且在它们支持之前,您将无法使用这些算法进行签名,并且您的密钥将无用(大多数仅支持 SHA-256、SHA-384 和 SHA-512 ,尽管 Azure Key Vault 确实支持 RSNULL,这可以让您绕过这个问题)。
对于密钥证明,根据您的 CA,您可能需要为您的密钥提供链接到硬件信任根的证明,只有部分 HSM/KMS 提供商支持。其他 CA 可能允许您远程向他们展示您的云环境(例如,通过 Zoom 或其他方式)以表明密钥在硬件中受到保护,而其他 CA 只需要您签署一份说明您的密钥受到保护的文件。
价格是下一个明显的因素。一些在 HSM 开启时按小时(或其他时间单位)收费,而大多数 KMS 选项对每个密钥和每次使用收取少量费用。通常,如果您只有少量密钥,则 KMS 选项之一将是更便宜、更容易的选择。但一旦密钥数量增加,专用 HSM 可能会变得更具成本效益。
选择加密设备后,您需要将签名工具与其集成。这是通过加密提供程序完成的。提供商对于您登录的平台是独一无二的。例如,在 Windows 上,您需要 KSP(或遗留系统的 CSP),Java/Android 需要 JCE 提供程序,macOS 使用 CTK 提供程序,OpenSSL 使用引擎框架(尽管在最新版本中有所更改),Linux 使用GPG 和 PKCS11 等的混合。一些 HSM 提供一些加密提供程序,但不是全部。 KMS 选项根本没有它们,您只能编写自己的代码。
然后是身份验证/授权、性能、审计等问题。您最终会发现自己身处想要通过身份提供者(例如,Active Directory、Azure 等)进行身份验证/身份验证的船上,您希望客户端散列以提高性能,您需要各种审计要求等. 出于这些原因以及其他原因,我们使用了一个名为GaraSign 的工具来解决所有这些问题,它提供了我们所需的一切开箱即用。这是他们的code signing page。
【讨论】:
SSL.com 还为其 EV 证书提供远程签名。这是一项名为 eSigner 的付费服务。
【讨论】: