注意:从11月15日起，需要在安全令牌上发布OV代码签名证书。

为了增强代码签名证书中私钥的安全性，CA/B论坛在今年年初召开会议讨论，最终决定改变代码签名证书中私钥的存储方式:必须在满足FIPS 140-2 Level 2或EAL4+通用标准及更高标准的安全令牌中生成并存储包含公钥和私钥的密钥对。

按照以往的流程，申请OV码签名证书，需要在IE浏览器中填写申请信息，浏览器会自动生成并存储证书请求文件CSR和私钥。证书颁发者通过浏览器获取用户的CSR和密钥，对用户的CSR进行数字签名，生成证书。用户将通过邮件收到证书颁发者颁发的代码签名证书，该证书不需要存储在安全令牌中。

从2022年11月15日开始，购买新OV企业代码签名证书和IV个人代码签名证书的用户将获得与EV代码签名证书相同的证书，证书将由证书颁发机构颁发并存储在预先配置的安全令牌上。证书颁发机构将通过邮件向用户发送安全令牌。此规则更新影响代码签名证书，该证书重新颁发或更新其费用，但不影响11月15日之前颁发的代码签名证书。需要注意的是，一些证书发行机构可能会提前实施变更，以确保在CA/B论坛规定的截止日期之前实施新标准。

新标准实施后，用户必须选择使用以下方法之一来存储证书和私钥:

一、USB安全令牌:DigiCert需要一个特定的安全令牌来存储代码签名证书和私钥，即SafeNet eToken 5110 CC，支持4096位RSA和256位ECC。

二、硬件安全模块HSM:用户可以使用自己的硬件安全模块存储证书和私钥，但需要向认证机构证明自己使用的设备符合要求，必须满足FIPS 140-2 Level 2或EAL4+通用标准及更高标准，支持RSA或256位ECC加密算法，密钥长度为3072或以上。

第三，代码签名服务和应用:用户不需要任何物理设备或硬件令牌，只需要在安全应用中存储证书和私钥，比如DigiCert的安全软件经理SSM。

这几篇文章你可能也喜欢：

• 暂无相关推荐文章

本文由主机参考刊发，转载请注明：注意:从11月15日起，需要在安全令牌上发布OV代码签名证书。 https://zhujicankao.com/86253.html