我被要求重新设计我们的构建/签名/发布流程。我很满意Windows的东西,我已经确定了几种可以满足我们需求的网络HSM产品。它们基本上直接与CryptoAPI集成,因此进行签名的人可以正常使用signtool.exe。
我们目前有一个单独的Mac团队,他们自己进行构建/签名/发布。这对于我们的一个DC中的几个Mac Minis来说都很好。我也想保护我们的Mac软件密钥,所以我试图找出如何将网络HSM集成到我们的Mac签名过程中。
我无法在任何地方找到任何有关此信息的好消息!所以我希望这里有人已经这样做了,可以减轻我的痛苦。
实际问题是;
1)我可以将HSM与标准Mac代码签名工具一起使用吗? 2)任何人都可以为上述推荐供应商/产品吗? 3)有人能指出我在Mac代码签名和Mac加密基础设施内部工作方面的一些好文档吗?
干杯
BHB
答案 0 :(得分:0)
我不相信任何主要的HSM供应商(nCipher,SafeNet等)都有任何关于Mac代码签名工具的钩子,我也不相信Apple公开任何产品。您最好的选择是尝试确定Mac工具执行时代码签名机制的样子,然后手动尝试自己复制它。然而,在我的头脑中,我不记得看到主要供应商开箱即用支持基于OSX的HSM客户端。我知道SafeNet通过自定义JCE提供程序支持Java。如果你可以使用PKCS#11接口,那么你可以利用OpenSSL或其他类似的工具包,但它会为你带来一些帮助。