我们订购了新的代码签名证书,并在基于 USB 的“硬件令牌”上获取了私钥 - 这与新的代码签名证书规则兼容,但限制了对一台物理 PC 的访问。我们确实希望证书位于 Azure Key Vault 中,可从我们的构建代理使用(使用 azuresigntool)。
我们的供应商表示他们将来将允许将私钥下载到 FIPS 设备,但目前还没有。
考虑到代码签名证书的新 FIPS 要求,是否有任何提供商可以颁发代码签名证书,我们可以将其安装到 Azure Key Vault 中。 (代码签名证书不再允许使用 PFX 文件)
我需要一个提供商,并希望能够逐步将证书放入 Azure Key Vault。
digicert.com 和 globalsign.com 理论上都提供此服务。 DigiCert 更快地通过了我的验证,所以我最终选择了他们。
DigiCert 通过聊天向我提供的订购证书的说明如下。验证过程完成后,您可以选择下载证书,您必须将其合并回 Azure Key Vault 请求才能完成该过程。
DigiCert + AzureKeyVault 作为 HSM 说明 在蔚蓝的一面
要设置 Azure Key Vault,请登录到 Azure 门户并单击“创建资源”按钮。搜索“Key Vault”并按“创建”以启动并运行您的保管库:
请选择适合您的使用案例的设置并创建您的 Key Vault。 注意:为了符合 FIPS 140-2 标准,您应该选择“高级”定价层。如果您不选择“高级”,您的证书就有被吊销的风险。
创建保管库后,请选择左侧操作栏中的“证书”。 然后单击“生成/导入”开始创建代码签名 CSR:
填写您的证书名称和主题名称。主题名称应该是您的公司名称。
将证书颁发机构类型设置为非集成 CA,然后选择高级策略配置:
在扩展密钥用法 (EKU) 字段中,请添加以下内容: 1.3.6.1.5.5.7.3.3 此 EKU 将证书标识为代码签名证书。 您还应该将“可导出私钥”设置为“否”,将“密钥类型”设置为 RSA-HSM。 注意:DigiCert 颁发的所有代码签名证书都必须使用最小 3072 位密钥大小。
配置策略后,单击“确定”,然后单击“创建”。 然后,该证书将在“证书”选项卡下显示为“正在进行中”证书:
单击正在进行中的证书。选择“证书操作”,然后点击“下载CSR”:
将 CSR 文件保存在您选择的安全位置。
从 CertCentral 仪表板订购 EV 代码签名证书 为此,我们创建了以下文档,以指导您成功注册 EV 代码签名证书所需的信息。 该文档名为“订购 EV 代码签名证书”,可以通过以下链接查看:https://docs.digicert.com/manage-certificates/code-signing-certificate/order-ev-code-signing-certificate / 注意:您必须在注册过程中选择“在 HSM 上安装”的预配选项才能获取可用的证书,否则我们将向您发送一个无法与您的 Azure 安装程序配合使用的预配置硬件令牌。
关于提供商,您可以使用 SignMyCode.com,他们提供 Azure Key Vault 代码签名证书(由 Digicert 支持)并按照此资源将代码签名证书存储在 Azure Key Vault 中: