FIPS USB 令牌是一种符合 FIPS 140-2 Level 2(或更高)安全标准的硬件设备,用于安全地生成和存储代码签名证书的私钥。使用 FIPS USB 令牌进行代码签名可以有效防止私钥泄露,提升软件发布的安全性与可信度。
以下是使用 FIPS USB 令牌进行代码签名的基本流程:
1. 获取支持硬件存储的代码签名证书
您需要申请一种支持硬件密钥存储的代码签名证书,例如:
- GlobalSign 普通代码签名证书(不含UKey):该证书要求私钥必须存储在符合 FIPS 140-2 Level 2 或更高级别的硬件模块中,包括 HSM 或兼容的 USB 令牌。
- 在申请过程中,CA(证书颁发机构)会指导您通过支持硬件生成密钥对,并完成组织验证(OV)。
✅ 推荐产品:
- GlobalSign 普通代码签名证书(不含UKey)
价格:1710元
支持将私钥存储于 FIPS 认证的 USB 令牌或 HSM 中,确保密钥不被导出。
2. 使用 FIPS USB 令牌生成密钥对
在购买证书时,选择使用您的 FIPS USB 令牌(如 YubiKey、Sectigo USB Token 等)来生成密钥对:
- 插入 USB 令牌。
- 使用证书申请工具(如 OpenSSL、certreq 或厂商提供的工具)在令牌内生成 RSA 密钥对。
- 公钥提交给 CA 用于签发证书,私钥永久保存在令牌中,无法被提取。
3. 安装证书到 USB 令牌
CA 验证通过后,会将代码签名证书颁发给您。此时需将其安装到已插入的 FIPS USB 令牌中:
- 使用管理工具(如 Microsoft Certificate Manager、YubiKey Manager 等)导入证书。
- 证书与令牌内的私钥绑定,形成完整的签名身份。
4. 进行代码签名操作
使用标准工具(如 signtool.exe)对软件进行签名:
signtool sign /v /n "Your Company Name" /t http://timestamp.digicert.com YourApp.exe
系统会自动调用插入的 USB 令牌中的私钥完成签名,无需导出任何密钥。
✅ 推荐产品
- 价格:1710元
- 支持 FIPS 140-2 Level 2+ 硬件存储(HSM / USB 令牌)
- 组织验证(OV),SHA-2,支持时间戳
- 来源:https://www.topssl.cn/ssl/globalsign-code-signing
- 价格:4980元
- 包含 FIPS 认证 USB Key,提供 SmartScreen 即时信任
- 支持驱动程序签名和自动化构建集成
- 来源:https://www.topssl.cn/product/63.html
⚠️ 注意:自2023年起,主流 CA 已禁止将私钥导出为
.pfx文件,必须使用硬件设备(如 FIPS USB 令牌或 HSM)保护私钥。
如需进一步了解如何配置特定品牌的 USB 令牌(如 YubiKey、Safenet 等),可参考各厂商文档或联系技术支持。
京公网安备11010502031690号
网站经营企业工商营业执照
