根据 CA/B 论坛的标准要求,为了加强代码签名证书的私钥安全保护,从 2023 年 06 月 01 日 开始,OV代码签名证书须与 EV代码签名证书的私钥保护机制保持一致,即私钥必须存储在 FIPS 140 2 级以上、Common Criteria EAL 4 级以上或同等认证级别的硬件上。
在新规之前,申请的 OV 代码签名证书可以直接存储在本地或者云端以 pfx 格式来使用,在使用方式上是非常便捷的。但因为这种方式的证书,私钥可被轻松复制,特别是使用人员复杂的场景,证书的使用范围可能失去控制。截至到今天,新规已经开始执行,很多需要 PFX 软证书的单位是受影响很大的群体。
环度网信所有代理的 DigiCert 在 2023 年 5月30 日发布了 KeyLocker,这款产品很好的解决了新规之后,依然需要软证书形式的单位的痛点。
解决方案
DigiCert KeyLocker,这是一种基于云的解决方案,可为您的代码签名证书生成并提供符合 FIPS 140-2 2 级标准的私钥存储。
DigiCert KeyLocker 是一种自动替代方法,可以替代手动生成私钥及其存储在可能丢失或被盗的硬件令牌上,或者购买硬件安全模块 (HSM) 并将其存储在本地。云存储提供的额外好处是允许您随时随地使用您的代码签名证书。
DigiCert KeyLocker 提供:符合行业标准的 HSM 密钥存储,与 CI/CD 管道集成,并使用 DigiCert 和第三方签名工具的签名解决方案,多因素身份验证用于使用密钥进行签名。
那么,DigiCert KeyLocker 是怎么样的一个使用流程呢?
联系环度网信(400-9989-115),获取您的 CertCentral 帐户。
在环度网信发给您的账户中添加代码签名证书订单,并选择 DigiCert KeyLocker 的方式来存储证书。
配合完成代码签名证书的组织验证流程。
获取 DigiCert ONE 帐户。
CertCentral 主管理员(在 KeyLocker 中称为KeyLocker 主管)收到两封电子邮件:欢迎使用 DigiCert ONE此电子邮件包含
KeyLocker 领导的用户名。
重置您的 DigiCert ONE 密码
这封电子邮件让您可以重置您在上一封电子邮件中提供的用户名的密码。
KeyLocker 生成您的私钥并将其安全地存储在符合 FIPS 140-2 级别 2 HSM 上。
KeyLocker 使用您的私钥生成 CSR。
KeyLocker 将 CSR 上传到 CertCentral。
您的证书已颁发并与生成并存储在 KeyLocker 中的密钥相关联。
KeyLocker 负责人登录DigiCert ONE以使用 KeyLocker。
KeyLocker 负责人邀请分配了DigiCert KeyLocker 签名者角色的其他用户。
如何申请 DigiCert KeyLocker?
在环度网信申请 DigiCert 代码签名证书即可沟通使用 DigiCert KeyLocker。
- 扫一扫二维码可分享朋友或朋友圈
