FIPS USB 令牌如何进行代码签名

FIPS USB 令牌是一种符合 FIPS 140-2 Level 2（或更高）安全标准的硬件设备，用于安全地生成和存储代码签名证书的私钥。使用 FIPS USB 令牌进行代码签名可以有效防止私钥泄露，提升软件发布的安全性与可信度。

以下是使用 FIPS USB 令牌进行代码签名的基本流程：

1. 获取支持硬件存储的代码签名证书

您需要申请一种支持硬件密钥存储的代码签名证书，例如：

• GlobalSign 普通代码签名证书（不含UKey）：该证书要求私钥必须存储在符合 FIPS 140-2 Level 2 或更高级别的硬件模块中，包括 HSM 或兼容的 USB 令牌。
• 在申请过程中，CA（证书颁发机构）会指导您通过支持硬件生成密钥对，并完成组织验证（OV）。

✅ 推荐产品：

• GlobalSign 普通代码签名证书（不含UKey）
  价格：1710元
  支持将私钥存储于 FIPS 认证的 USB 令牌或 HSM 中，确保密钥不被导出。

2. 使用 FIPS USB 令牌生成密钥对

在购买证书时，选择使用您的 FIPS USB 令牌（如 YubiKey、Sectigo USB Token 等）来生成密钥对：

• 插入 USB 令牌。
• 使用证书申请工具（如 OpenSSL、certreq 或厂商提供的工具）在令牌内生成 RSA 密钥对。
• 公钥提交给 CA 用于签发证书，私钥永久保存在令牌中，无法被提取。

3. 安装证书到 USB 令牌

CA 验证通过后，会将代码签名证书颁发给您。此时需将其安装到已插入的 FIPS USB 令牌中：

• 使用管理工具（如 Microsoft Certificate Manager、YubiKey Manager 等）导入证书。
• 证书与令牌内的私钥绑定，形成完整的签名身份。

4. 进行代码签名操作

使用标准工具（如 signtool.exe）对软件进行签名：

signtool sign /v /n "Your Company Name" /t http://timestamp.digicert.com YourApp.exe

系统会自动调用插入的 USB 令牌中的私钥完成签名，无需导出任何密钥。

✅ 推荐产品

1. GlobalSign 普通代码签名证书（不含UKey）

   • 价格：1710元
   • 支持 FIPS 140-2 Level 2+ 硬件存储（HSM / USB 令牌）
   • 组织验证（OV），SHA-2，支持时间戳
   • 来源：https://www.topssl.cn/ssl/globalsign-code-signing

2. DigiCert EV 代码签名证书（带USB Key）

   • 价格：4980元
   • 包含 FIPS 认证 USB Key，提供 SmartScreen 即时信任
   • 支持驱动程序签名和自动化构建集成
   • 来源：https://www.topssl.cn/product/63.html

⚠️ 注意：自2023年起，主流 CA 已禁止将私钥导出为 .pfx 文件，必须使用硬件设备（如 FIPS USB 令牌或 HSM）保护私钥。

如需进一步了解如何配置特定品牌的 USB 令牌（如 YubiKey、Safenet 等），可参考各厂商文档或联系技术支持。