代码签名证书新规后哪些方式能存储证书和私钥？

根据CA/B论坛最新标准要求，从2022年11月15日起，OV代码签名证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中（包括USB令牌、硬件安全模块HSM等），与EV代码签名证书私钥保护机制一样，以便加强代码签名证书私钥的保护。

（CAB论坛 Ballot CSC-13截图）

代码签名证书新规对你有什么影响？

• 如果是11月15日之前颁发的OV代码签名证书，用户可以继续正常使用，不受此新规影响。因此，有需要OV代码签名证书的软件开发者请抓紧在新规执行时间之前签发。
• 当用户在11月15日之后重签、续费、新购OV代码签名证书时，则需要遵守新规，选择符合存储私钥的硬件类型，以便安全获取存储最新代码签名证书和私钥。

注意：部分CA机构可能将提前实施更改，如Sectigo OV代码签名证书将在10月30日开始执行新规。

哪些方式可用于存储证书和私钥？

1. USB 令牌
USB安全令牌通常是分配给组织内各个用户的小型便捷设备，是存储代码签名证书最常用的一种方式。一般而言，CA机构提供特定的USB令牌存储证书和私钥，比如Sectigo CA，但不支持用户提供的USB令牌。部分CA的代码签名证书支持用户自己购买的符合规定的USB令牌。

2. 硬件安全模块HSM
用户可以使用自有的硬件安全模块来存储证书和私钥，但需要向CA机构证明使用的设备符合新规要求，即必须达到FIPS140-2 Level2、Common Criteria EAL4级以上或者更高标准，且支持密钥长度达到或超过3072位的RSA或256位的ECC加密算法。

3. 代码签名服务和应用程序
用户不需要任何物理设备或硬件令牌，只需要将代码签名证书存储在安全应用程序上，用户通过云端方式对代码进行数字签名等，所有代码签名操作流程都被日志记录并归档管控，方便审核、跟踪签名活动。此方案成本低，安全性高，可以满足绝大部分企业，尤其是拥有异地研发团队企业的代码签名需求。

关于更多代码签名证书最新消息或证书申请使用等问题请搜索锐成官网了解详情。