使用硬件令牌（EV 证书）进行代码签名，批量混合 jarsigner、signtool 和 codesign

Question

我们目前有一个完全自动化的流程，可以使用 ANT 从源代码生成安装程序。

我们创建以下类型的不同文件：

1. 罐子
2. EXE
3. DLL
4. 微星
5. MAC OS X 版本的 APP 文件。

每个文件都经过数字签名，但数字证书以每个工具所需的格式存储。

例如：jarsigner 使用 JSR 文件。 signtool 使用控制面板中的数字证书存储库，而 codesign 使用 MAC 中的类似存储库。我们创建了一个 PKCS12 来将我们的证书导入到其他所有必需的容器中。

现在我们计划升级并使用 EV 证书进行代码签名，该证书存储在通过 USB 连接到计算机的硬件令牌中。挑战在于将硬件令牌与来自不同供应商的所有签名工具集成并以批处理模式使用它，因此我们不需要为每个要签名的文件输入密码（我们可以在一个批次中最多签署 2,000 个文件） .

我正在寻找一种能够满足所有要求的解决方案。我还没有找到解决办法。

Answer 1

SignServer Enterprise [1] 是基于 SignServer [2] 的服务器端软件，目前至少支持第 1-3 点中的格式并使用硬件令牌。

无论签名类型/格式如何，这都会使签名过程相同。

很遗憾，虽然 MSI 支持可能即将推出，但还没有第 4 点和第 5 点。