本地代理映射机制
代理指的是用户代理 VSign 云服务,将本地证书(未包含私钥)映射到云上,以供异地异部门的同事使用签名
适用场景
VSign 为了合规,仅支持导入 HSM 证书,即从 HSM 中生成 CSR 并申请成功的证书。那么用户已经购买的 EV代码签名证书如何共享出去,被其他人使用呢。
解决方案
VSign 提供了 Agent 机制,Agent 会将本地证书池中的代码签名证书(包括 SafeNet Token 中的证书),同步到 VSign 中(注: 不同步私钥),在证书管理界面能直观的看到同步成功的证书。
为防止 Agent 被滥用,分配了专属的 Agent 操作员进行权限管理。通过Agent 运行日志,可以查看证书被谁用于签名了什么程序。
支持 UKEY 证书、本地软证书映射到 VSign,供多人共享签名,确保私钥安全。
Agent支持三大系统:
- Windows: 同步本地证书池的证书,包括UKEY CSP映射的证书、本地软证书。
- Linux: 同步固定文件夹下的软证书。
- macOS: 同步本地 KeyChain 中的证书
使用方式
Agent 签名,与 VSigntool 通常的签名方式一样,先安装 VSign 签名操作员,创建规则选择映射的证书,签名时选择规则即可。
在此,仅介绍 Windows 系统上如何使用 VSign + Agent,即映射 Windows 系统上的代码签名证书。
-
首先要注册 VSign 账户(免费注册),登录并选择套餐后,点击【操作员】- 【添加操作员】,如下图:
添加操作员 -
点击【确定】,在安装界面,选择【Agent 安装】选项卡,可以看到支持三大平台。 选择 Windows,复制 Agent安装指令。如下图:
安装 agent -
依据提示,在系统【开始】菜单搜索 powershell 或 按【Win+X】键,以管理员打开 Power Shell。
以管理员运行 Powershell -
在打开的 power shell 上,粘贴 Agent安装指令并运行。运行结果如下:
运行安装指令 此后,Agent 以服务形式注册在 Windows 系统中,自动将系统证书池(包括 UKEY )中的代码签名证书映射到 VSign 账户中。
-
返回到 VSign 账户中,在【证书管理】- 【UKey映射】界面中,可以看到 Agent 映射成功的证书。如下图:
查看映射证书 -
如何让使用者在其他电脑上使用 Agent 映射的这些证书?首先需要安装 VSigntool签名工具(下载地址),然后为使用者分配签名权限。在【操作员】- 【添加操作员】界面,为使用者命名并分配期限,确定后点击【复制token】,将复制的 token码发送给使用者。如下图:
添加 VSigntool 操作员 -
使用者在VSigntool工具的【设置】-【VSign 安装操作员】界面,输入得到的token值,确定即可。
-
token码安装成功后,在 VSigntool 工具的【证书管理】界面,将能看到可用的 VSign签名证书。如下图:
查看签名证书 -
至此,我们就通过 VSign+Agent 达到了映射本地代码签名证书给其他使用者签名的目的。
-
使用映射证书进行签名,与通常的签名方式一致,在这就不作详细介绍了,如有疑问请参考 VSigntool使用手册。