根据CA/B论坛的要求,所有新颁发的代码签名证书的私钥都必须在符合标准的硬件加密模块中生成并存储,全面告别了传统的软证书时代。目前主流的存储介质如下:
1.USB 硬件令牌(USB Key/eToken)
这是一种类似U盘的物理设备,内置安全芯片。证书及私钥存储在令牌内部且无法导出,使用时需插入电脑并输入PIN码进行双因素认证。这种介质适合中小型开发团队或个人开发者进行桌面软件签名。
2.硬件安全模块(HSM)
HSM是一种具有防篡改性能的专用硬件设备,通常直接安装在服务器主板上,或者作为机架式服务器部署。它能提供每秒千次级的高并发签名性能,支持密钥分片存储与审计追踪,非常适合大型软件厂商、云服务提供商以及需要自动化集成CI/CD流水线的大型企业。
3.云 HSM 服务(Cloud HSM/KeyLocker)
这是将证书存储在云端的最现代化方式。由CA机构提供托管型的硬件安全服务,私钥被安全地存放在符合标准的云端中。用户无需自行维护物理硬件,也解决了物理U盾无法多人共享的问题,可以通过在线方式在持续集成环境中快速、安全地进行哈希签名。