Наша компания использует сертификат подписи кода EV на USB-ключе eToken, но в настоящее время мы планируем перенести наши процедуры сборки и подписи на виртуальный сервер в облаке, все в порядке, кроме одного, это процесс подписи кода, GlobalSign позволяет хранить сертификаты либо на USB-ключ или HSM. Я думаю, что HSM справится с этой задачей, может ли кто-нибудь посоветовать передовой опыт для облачного HSM? Я обнаружил, что Google Cloud предлагает Google Cloud HSM, но как подключить signtool.exe к этой службе?
Подписание кода Microsoft Authenticode (EV) + Google Cloud HSM?
Ответы (2)
В настоящее время нет способа сделать это. Если у вас есть сертификат EV на физическом ключе, вам нужно будет настроить агент физической сборки в вашей локальной сети для обработки части сборки подписи.
Это не должно создавать слишком большой нагрузки на вашу сборку, поскольку производственные подписи должны выполняться только для выпускаемого кода.
person
Dan
schedule
15.10.2019
Разные среды имеют разные потребности. Во многих случаях это является большим бременем даже для выпущенного кода.
- person seph; 10.12.2020
Если вы не возражаете против использования другого инструмента для подписи, Jsign поддерживает Google Cloud HSM:
jsign --storetype GOOGLECLOUD --storepass <api-access-token> \
--keystore projects/first-rain-123/locations/global/keyRings/mykeyring \
--alias test --certfile full-chain.pem application.exe
Сложность заключается в том, чтобы заставить GlobalSign выдать сертификат для закрытого ключа, хранящегося в Google Cloud HSM (обычно это включает в себя процесс аудита, подтверждающий, что ключ был правильно сгенерирован HSM, или предоставление сертификат подтверждения).
person
Emmanuel Bourg
schedule
30.06.2021
