Подписание кода в OS X с помощью сетевого HSM

Question

Меня попросили перепроектировать наши процессы сборки / подписи / выпуска.Я очень доволен работой с Windows, и я определил несколько сетевых HSM-продуктов, которые будут делать то, что нам нужно.Они в основном интегрируются непосредственно с CryptoAPI, поэтому подписчики могут просто использовать signtool.exe в обычном режиме.

В настоящее время у нас есть отдельная команда Mac, которая делает свою собственную сборку / подпись / выпуск.Все это прекрасно работает на паре Mac Minis в одном из наших ДЦ.Я также хотел бы защитить наши программные ключи Mac, и поэтому я пытаюсь выяснить, как интегрировать сетевой HSM в наш процесс подписания Mac.

Я не могу найти хорошую информацию об этомв любом месте!Поэтому я надеюсь, что кто-то здесь уже сделал это и может уменьшить мою боль.

Фактические вопросы:

1) Могу ли я использовать HSM со стандартными инструментами для подписи кода Mac?2) Кто-нибудь может порекомендовать поставщика / продукта для вышеупомянутого?3) Может ли кто-нибудь указать мне на хорошую документацию по подписанию кода Mac и внутренней работе криптографической инфраструктуры Mac?

Приветствия

BHB

Answer 1

Я не верю, что кто-либо из крупных поставщиков HSM (nCipher, SafeNet и т. Д.) Имеет какие-либо преимущества в инструментах подписывания кода Mac, и при этом я не верю, что Apple их выставляет.Лучше всего было бы попытаться определить, как выглядит механизм подписи кода при работе с инструментами Mac, а затем попытаться скопировать его самостоятельно.Тем не менее, я не помню, чтобы крупные производители поддерживали клиентов HSM на базе OSX из коробки.Я знаю, что SafeNet поддерживает Java через собственного провайдера JCE.Если есть интерфейс PKCS # 11, к которому вы можете подключиться, то вы можете использовать OpenSSL или другой подобный инструментарий, но это приведет к некоторой работе для вас.