自2023年6月1日起,所有的代码签名证书便不再支持pfx软证书的形式来进行签名。这是一个行业的规则调整,目的是为了增强代码签名证书的安全性,防止证书被滥用和复制,这实际上是一件好事情。但对于有一些特别使用场景的用户来说,这种规则的改变增加了他们使用证书的复杂性,因为并不是每一个使用场景都方便插上一个硬件token的。
就在这种新旧规则交替之际,digicert推出了keylocker这种方式。就是不需要在客户端电脑上插入一个硬件设备,而是通过远程调用的方式来实行代码签名证书的签名
目前,使用代码签名证书的方式有如下几种:
一,使用赛孚耐 safenet eToken5110 CC 身份认证令牌,这种方式是目前环度网信几乎所有用户选择的证书存储和使用方式。
证书存储在这个 Token 中,并设置有令牌密码和管理员密码,证书无法被导出,很好的保护了证书使用的安全性。即要使用这个证书进行数字签名,不但要有这个硬件 Token,还需要知道密码才可使用。但缺点是必须将该设备插在电脑上才可签名,可谓在增加安全性的同时牺牲了使用的便捷性。
二,使用 HSM 设备。这种方式要求您必须具有通用标准 EAL4+标准或 FIPS 140-2 级别 2 的HSM设备。这种设备昂贵,且一般的业务场景均不会用到这种设备。
三,使用 DigiCert KeyLocker(一种云 HSM)。DigiCert KeyLocker是 DigiCert 的安全云密钥存储解决方案。它方便易用,使您能够遵守行业对代码签名密钥对安全的要求,而不会有本地存储的风险。
如果您的数字签名需要通过云端的方式来实现,那么第三种 DigiCert KeyLocker 无疑是目前很合适的选择,使用相对更灵活。
Sign with SMCTL
Sign with DigiCert Click-to-sign
Sign with third-party signing tools
而使用这种方式,会在代码签名证书的费用之上额外增加 DigiCert KeyLocker 的使用服务费,详情咨询环度网信(ihuandu.com)
领取专属 10元无门槛券
私享最新 技术干货