我们公司在eToken usb加密狗上使用EV代码签名证书,但是我们目前正计划将构建和签名过程移至云中的虚拟服务器,一切正常,除了一件事,这是代码签名过程,GlobalSign允许将证书存储在USB加密狗或HSM上。我认为HSM将胜任这项工作,有人可以建议云HSM的最佳做法吗?我发现,谷歌云提供了Google Cloud HSM,但是如何将signtool.exe与该服务连接?
答案 0 :(得分:0)
当前没有一种方法可以执行此操作。如果您在物理加密狗上拥有EV证书,则需要在本地网络上设置物理构建代理以处理构建的签名部分。
这应该不会给您的构建带来太多负担,因为生产签名只能在可发布的代码上执行。
答案 1 :(得分:0)
如果您不介意使用其他签名工具,Jsign 支持 Google Cloud HSM:
jsign --storetype GOOGLECLOUD --storepass <api-access-token> \
--keystore projects/first-rain-123/locations/global/keyRings/mykeyring \
--alias test --certfile full-chain.pem application.exe
困难的部分是让 GlobalSign 为存储在 Google Cloud HSM 中的私钥颁发证书(这通常涉及审核过程,以证明密钥是由 HSM 正确生成的,或提供 attestation certificate) .