code-signing - 2017年新规后如何在云端签码？

Question

我注意到code signing certificates are from now on required to be paired with physical tokens .

The Minimum Requirements specify that CAs shall ensure stronger protection for private keys. As such, all Code Signing Certificates, not just Extended Validation level, will require a USB token starting on January 30, 2017. With this, all New and Renewal Standard Code Signing orders will be sent a USB token to store the certificate and protect the private key. Also, all standard Code Signing products except for EV Code Signing will be integrated to one “multi-platform” Code Signing Certificate. Note: Reissues of existing Code Signing Certificates (issued prior to 30 January 2017) will not require a token right away. However, this is subject to change.

作为使用纯云工作流程的人，这引起了我的一个明显担忧——我不能只将这个 USB token 插入“云”。

我是否正确理解从现在开始我需要设置一个单独的本地代码签名流程？或者是否还有一些可能在云中签署代码？在新规则下工作我应该有什么期望？

Answer 1

根据您链接的文章，听起来您绝对需要为您的构建系统提供对 USB key 的访问权限才能签署您的工件。正如您提到的明显的解决方案(可能是微软试图鼓励的)是建立一个专门用于代码签名的内部构建系统。

从安全的角度来看，这可能是最好的选择，因为您可以在软件和硬件方面强化该机器(例如锁定在工作区的壁橱中)。但这也可能不现实，具体取决于您的构建系统是如何设置的。

您的另一个选择是使用 USB 转发解决方案将 USB key 转发到您的云环境。有很多方法可以做到这一点，最好的方法取决于您正在构建的内容和操作系统，但这里有一些选项的概要:

Linux 系统 - USB/IP - 这是一个内核模块和用户空间应用程序，由大量 Linux 发行版提供(它是一个主线模块，但并不总是包括在内)。这使您可以使用本地 USB 设备并通过网络将其转发到另一台 Linux 机器。我很幸运，但第一次设置它可能有点棘手。

Windows 系统 - RemoteFX forwarding over RDP - 在较新的 Windows 系统(Windows 10、Server 2012 R2+)上，远程桌面 native 支持 USB 重定向。您可以简单地通过 RDP session 转发 USB key 。不过，这将要求您在构建时始终保持连接。

Windows 系统 - 第三方软件 - 有多种第三方 USB 转发解决方案可用。例如 this one .其中一些具有无需事件桌面 session 即可运行的优势。

所有这些解决方案的问题是，如果 USB token 旨在主动防止这种情况(或以某种方式与转发不兼容)，它可能无法工作。例如，某些许可证 key 将检查以确保进出计算机的时间在某个容差范围内。在这些情况下，从云到您的机器增加的延迟会导致 token 无法工作。这完全取决于您收到的 USB key 。

此类政策的全部目的是通过向您提供您必须实际拥有的东西才能使用您的 key ，从而防止您作为 key 持有者意外失去对 key Material 的控制。云构建系统很方便，但通常具有更广泛的安全环境，这使得保护 key 比现场系统更棘手。看起来 Microsoft 和您的 CA 正在尝试规定如何处理 key 。