新规要求OV 代码签名证书私钥强制硬件存储，“软证书”即将停发！

根据CA /B论坛最新标准要求，从 2023 年 06 月 01 日 开始，OV代码签名证书私钥必须存储在FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的硬件上，与 EV代码签名证书的私钥保护机制保持一致，目的是加强代码签名证书的私钥保护。详情请参阅代码签名基线要求最新版本。

新规要求将影响从2023 年 06 月 01 日起新颁发的OV代码签名证书。

1、新颁发证书

2023 年 06 月 01 日起，新颁发的OV代码签名证书及私钥，必须存储并安装在FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的令牌或硬件安全模块（HSM）上。CA机构不再支持基于浏览器的密钥生成、证书安装或其他任何流程操作，包括创建CSR（证书请求文件）、在电脑或服务器上安装证书等。

2、签名代码

从 2023 年 06 月 01 日起，必须使用基于硬件存储的OV代码签名证书进行代码签名。用户需要在计算机上插入硬件设备，才能使用存储在硬件上的代码签名证书，需要密码才能使用硬件上的代码签名证书来签名代码。

3、购买或续费证书

从 2023 年 06 月 01 日起，购买或续费购买新的OV代码签名证书时，证书申请者需要选择存储私钥的硬件类型。和EV代码签名证书一样，有三个选项供选择：

• 使用沃通配置的硬件令牌
• 使用您自己准备的硬件令牌
• 安装在硬件安全模块（HSM）上

硬件令牌和HSM设备必须经过FIPS 140 2级以上、Common Criteria EAL 4级以上或同等级别认证；要使用硬件安全模块（HSM），您必须提交包含审计函的证明函。

4、重新颁发证书

从 2023 年 06 月 01 日起，重新颁发OV代码签名证书时，证书申请者必须在受支持的硬件令牌或硬件安全模块（HSM）上安装证书。如果证书申请者没有硬件令牌，此时需要新购硬件令牌。

此次升级仅为证书生成存储方式的变化，OV代码签名证书本身的功能作用不受任何影响。沃通OV代码签名证书（标准码签名证书Pro、标准代码签名证书）是全球信任的多用途代码签名证书，支持.exe 和 .dll 文件、Java Applets、J2ME MIDlet、Office宏文件等多种类型代码文件数字签名，保护软件代码安全、验证软件来源可信、消除系统警告。为帮助用户平稳完成新规过渡，沃通CA提醒您，如果您证书即将到期，建议提前规划申请OV代码签名证书，最高可申请3年期。如果广大用户对于新规变化、硬件类型选择、新规下的操作流程等方面仍有疑问，欢迎咨询沃通WoTrus。