签名( EV )+ Google？

Question

我们公司在eToken usb上使用EV协同设计证书，但我们目前正计划将我们的构建和签名过程移动到云中的虚拟服务器上，一切都很好，除了一件事，就是协同设计过程，GlobalSign允许将证书存储在usb或HSM上。我认为HSM会做好这项工作，有人能为云HSM的最佳实践提供建议吗？我发现，google提供了谷歌云HSM，但是如何将signtool.exe与此服务连接起来呢？

Answer 1

目前还没有办法做到这一点。如果在物理dongle上有EV证书，则需要在本地网络上设置物理构建代理来处理构建的签名部分。

这不应该给您的构建带来太多的负担，因为生产签名应该只在可发布的代码上执行。

Answer 2

如果您不介意使用另一个签名工具，杰斯支持Google：

jsign --storetype GOOGLECLOUD --storepass <api-access-token> \
      --keystore projects/first-rain-123/locations/global/keyRings/mykeyring \
      --alias test --certfile full-chain.pem application.exe

困难的部分是让GlobalSign为存储在Google中的私钥颁发证书(这通常涉及一个审核过程，以证明密钥是由认证证书正确生成的，或者提供一个认证证书)。

Answer 3

首先，您需要遵循这里步骤，在Google中创建一个HSM支持的密钥：

gcloud kms keys create ${KEY_NAME} \
    --keyring ${KEY_RING} \
    --location ${LOCATION} \
    --purpose "encryption" \
    --protection-level "hsm"

然后，您可以使用这个PKCS #11模块 (最近由Google发布)以及任何支持此API的工具，比如渗透码。

osslsigncode sign \
    -pkcs11engine /path/to/system/pkcs11.so \
    -pkcs11module google-kms-pkcs11-module.so \
    -cert certificate.crt \
    -key "pkcs11:token=${KEY_NAME};object=key" \
    -n "Your App Name" -in yourapp.exe -out yourapp-signed.exe

还没有测试这个命令，但据我的经验，osslsigncode在pkcs11 11-代理中运行得相当好，它是另一个PKCS #11模块，用于使用网络上另一台机器上插入的令牌进行EV代码签名。

尽管上面的命令是用"Linux语法“编写的，osslsigncode和Google KMS模块也在GitHub上发布了预编译的windows二进制文件。