OV代码签名证书私钥强制硬件存储

根据CA/B论坛最新标准要求,从2022年11月15日开始,OV代码签名证书私钥必须存储在FIPS1402级以上、CommonCriteriaEAL4级以上或同等认证级别的硬件上,与EV代码签名证书的私钥保护机制保持一致,目的是加强代码签名证书的私钥保护。详情请参阅代码签名基线要求最新版本

新规要求将影响从2022年11月15日起新颁发的OV代码签名证书。

新申请SSL证书

2022年11月15日起,新颁发的OV代码签名证书及私钥,必须存储并安装在FIPS1402级以上、CommonCriteriaEAL4级以上或同等认证级别的令牌或硬件安全模块(HSM)上。CA机构不再支持基于浏览器的密钥生成、证书安装或其他任何流程操作,包括创建CSR(证书请求文件)、在电脑或服务器上安装证书等。

规定实行时间

从2022年11月15日起,必须使用基于硬件存储的OV代码签名证书进行代码签名。用户需要在计算机上插入硬件设备,才能使用存储在硬件上的代码签名证书,需要密码才能使用硬件上的代码签名证书来签名代码。

新购买或者续订

从2022年11月15日起,购买或续费购买新的OV代码签名证书时,证书申请者需要选择存储私钥的硬件类型。和EV代码签名证书一样,有三个选项供选择:

使用硬件令牌

使用您自己准备的硬件令牌

安装在硬件安全模块(HSM)上

硬件令牌和HSM设备必须经过FIPS1402级以上、CommonCriteriaEAL4级以上或同等级别认证;要使用硬件安全模块(HSM),您必须提交包含审计函的证明函。

重新颁发证书

从2022年11月15日起,重新颁发OV代码签名证书时,证书申请者必须在受支持的硬件令牌或硬件安全模块(HSM)上安装证书。如果证书申请者没有硬件令牌,此时需要新购硬件令牌。

发表评论