在证书信任链中将代码签名从令牌切换到HSM

Question

我们使用高级安装程序，目前我们使用Safenet USB令牌的标准代码签名证书对.exe和安装程序包进行签名。我们希望移动到云，并在那里使用Azure Key Vault。Azure密钥库需要HSM证书，我们需要购买新证书。是否可以从令牌切换到HSM ?使用令牌证书签名的旧部署Windows服务是否接受使用新HSM证书签名的新更新包？

据我所知，私钥存储在usb标记上，我们无法获得它，所以HSM将使用新的私钥？

我们使用GlobalSign证书。

Answer 1

如果您切换到新证书，应该不会有问题。

您应该注意的唯一情况是，如果您使用的是Install only数字签名的更新程序包，并且与安装项目的Updater视图中的Updater选项具有相同的证书。检查this article。

在启用此选项的情况下使用更新程序功能时，应确保新证书的主题与旧证书的主题完全相同。