我们正在考虑切换到扩展验证 (EV) 代码签名证书。
为了完全自动化 Apple 的公证,我们必须将构建机器切换为 Mac mini。
阅读EV代码签名流程, and 如何实现自动化,出现了两个问题:
硬件令牌 (HSM) 的密码输入可以自动化吗?
The Ingo Kegel 对这个问题的评论似乎表明您可以通过以下方式传递 HSM 密码--win-keystore-password=<password>
命令行选项。
那是对的吗?
多平台构建仍然可以在单台机器(Mac mini)上进行吗?
The 安装4j帮助提到“不同平台”:
在 Windows 上,通常可以通过以下方式访问此类硬件令牌
Windows 密钥库。在不同的平台上,您必须选择
“硬件安全模块 PKCS #11 库”选项并配置
本机库,通过以下方式提供对 HSM 中密钥库的访问
PKCS #11 API。
是否有适用于 MacOS 的 PKCS #11 库?库选择对话框要求提供 DLL...
我可以确认我们已成功运行此程序(Windows EV 代码签名和 Apple Notarization 在 Mac mini 上实现自动化):
- Bought Sectigo EV 代码签名证书
- 附上已交付的SafeNet 电子令牌 5110(USB 适配器)至 Mac mini
- 已安装SafeNet 身份验证客户端(在 Mac mini 和 Windows 上进行测试)
- 从token中导出证书查看证书链
- 从 Windows 密钥库导出链证书 (certmgr.msc)
- 将链证书导入到令牌上(显然一些发行者会为您执行此操作并提供不仅包含签名证书而且还包含其链的令牌)
- 如果无法将证书添加到令牌中,可以通过编译器变量将它们提供给目录中的 install4j
sys.ext.certDir
- 已配置install4j 代码签名使用 SafeNet 身份验证客户端提供的 PKCS11 库:
/usr/local/lib/libeTPkcs11.dylib
- 对于 Windows 上的测试:
C:/Windows/System32/eTPKCS11.dll
- 最后:不再有 SmartScreen 消息
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)