代码签名行业最近采纳了 CAB 论坛关于代码签名的建议。现在私钥只能存储在 CA 提供(或管理)的硬件(USB 密钥)上。
我看到了以下缺点:
有办法避免这种痛苦吗?
我看到的选项:
假设您的私钥由 DigiCert ONE 服务持有,您可以用 Jsign 替换 Signtool 来签署您的二进制文件(免责声明:我是作者)。 Jsign 是跨平台的,可直接将文件的哈希发送到 DigiCert API,因此您不受 DigiCert 客户端工具要求的束缚。
语法如下:
jsign --storetype DIGICERTONE --alias test \
--storepass "<api-key>|/path/to/Certificate_pkcs12.p12|<password>" application.exe