根据CA/B的最新规则,自2023年6月1日起,代码签名证书签发存储介质(存储证书、私钥),必须使用符合FIPS 140-2 Level 2 或CC EAL 4+要求的Hardware Security Module(硬件安全模块)进行保护性存储,包括普通代码签名、EV代码签名,同时也不再支持导出PFX/P12进行证书管理,购买配置证书时需要选择以下一种方式进行管理:
根据CA/B的最新规则,自2023年6月1日起,代码签名证书签发存储介质(存储证书、私钥),必须使用符合FIPS 140-2 Level 2 或CC EAL 4+要求的Hardware Security Module(硬件安全模块)进行保护性存储,包括普通代码签名、EV代码签名,同时也不再支持导出PFX/P12进行证书管理,购买配置证书时需要选择以下一种方式进行管理:
1、USB-Key / USB-Token
新规要求标准(普通)代码签名、EV代码签名均需要使用USB-Token介质进行存储管理,即完成证书申请后,由CA机构提供一个实体的USB-Token(类似U盘)通过物流系统寄送到用户手上,后续使用该USB-Token插入计算机设备进行签名。
2、HSM硬件安全模块
用户自行提供符合FIPS 140-2 Level 2 或CC EAL 4+要求的Hardware Security Module硬件安全模块获取证书,通常该模块平台部署费用较高,如果不存在大规模管理代码签名证书则建议选用USB-Token方式。
3、CA厂商提供的云端HSM
不同的CA机构会提供基于云端部署的HSM存储设备,用户需要支付云服务订阅费存储相关代码签名证书及私钥。
总结以上信息,代码签名证书申请及签发过程均不再区分标准代码签名、EV代码签名,统一采用实体介质进行存储,进一步提升了证书的安全性,但同时增加了管理成本,企业或个人根据业务需要选择不同的存储方式。