使用Network-HSM在OS X上進行代碼簽名

Question

我被要求重新設計我們的構建/簽名/發佈流程。我對Windows的東西非常滿意，並且我已經確定了幾種能夠滿足我們需求的網絡HSM產品。他們基本上直接與​​CryptoAPI集成，所以進行簽名的人可以正常使用signtool.exe。

我們目前有一個獨立的Mac團隊，他們自己編譯/簽署/發佈。在我們的一個DC中，這兩個Mac Minis都能正常工作。我也想保護我們的Mac軟件密鑰，所以我正試圖找出如何將聯網HSM集成到我們的Mac簽名過程中。

我無法在任何地方找到任何有關此信息的好消息！所以我希望有人在這裏已經做到了，並且可以減輕我的痛苦。

實際問題是;

1）我可以使用HSM與標準的Mac代碼簽名工具嗎？ 2）任何人都可以推薦上述供應商/產品？ 3）任何人都可以指向我一些有關Mac代碼簽名和Mac加密基礎設施內部工作的良好文檔嗎？

乾杯

BHB

Answer 1

我不相信任何主要的HSM供應商（nCipher的，SafeNet公司等）有任何掛鉤進了Mac代碼簽名工具，也沒有我相信蘋果的任何公開。你最好的選擇是嘗試確定當Mac工具執行代碼簽名機制時的樣子，然後嘗試手動複製它。然而，從我的頭頂來看，我不記得主要供應商支持開箱即用的基於OSX的HSM客戶端。我知道SafeNet通過自定義JCE提供程序支持Java。如果你有一個PKCS＃11接口，你可以利用OpenSSL或其他類似的工具包，但它會爲你帶來一些工作。