Macos 使用网络HSM在OS X上进行代码签名

我被要求重新设计我们的构建/签名/发布流程。我对Windows的东西很满意，我已经确定了几种网络化HSM产品，它们可以满足我们的需要。它们基本上直接与CryptoAPI集成，因此进行签名的人可以正常使用signtool.exe

我们目前有一个单独的Mac团队，他们自己进行构建/签名/发布。在我们的一个DCs中的几个Mac Mini上，这些都可以正常工作。我还想保护我们的Mac软件密钥，因此我试图找出如何将网络HSM集成到我们的Mac签名过程中

我在任何地方都找不到关于这个的好信息！所以我希望这里已经有人这样做了，可以减轻我的痛苦

实际问题是,

1） 我可以将HSM与标准Mac代码签名工具一起使用吗？ 2） 有人能推荐一个供应商/产品用于上述用途吗？ 3） 有人能给我介绍一些关于Mac代码签名和Mac加密基础设施内部工作原理的好文档吗

干杯

---

BHB

我不相信任何主要的HSM供应商（nCipher、SafeNet等）在Mac代码签名工具中有任何挂钩，我也不相信苹果公司会公开任何挂钩。最好的办法是尝试确定由Mac工具执行时的代码签名机制，然后尝试自己手动复制。然而，在我的脑海中，我不记得看到主要供应商支持基于OSX的HSM客户机开箱即用。我知道SafeNet通过一个定制的JCE提供者支持Java。如果有一个PKCS#11接口可以挂接，那么您可能可以利用OpenSSL或其他类似的工具包，但这将为您带来一些工作