不用 token，可以这样使用代码签名证书进行数字签名

自2023年6月1日起，所有的代码签名证书便不再支持pfx软证书的形式来进行签名。这是一个行业的规则调整，目的是为了增强代码签名证书的安全性，防止证书被滥用和复制，这实际上是一件好事情。但对于有一些特别使用场景的用户来说，这种规则的改变增加了他们使用证书的复杂性，因为并不是每一个使用场景都方便插上一个硬件token的。

就在这种新旧规则交替之际，digicert推出了keylocker这种方式。就是不需要在客户端电脑上插入一个硬件设备，而是通过远程调用的方式来实行代码签名证书的签名

目前，使用代码签名证书的方式有如下几种：

一，使用赛孚耐 safenet eToken5110 CC 身份认证令牌，这种方式是目前环度网信几乎所有用户选择的证书存储和使用方式。

证书存储在这个 Token 中，并设置有令牌密码和管理员密码，证书无法被导出，很好的保护了证书使用的安全性。即要使用这个证书进行数字签名，不但要有这个硬件 Token，还需要知道密码才可使用。但缺点是必须将该设备插在电脑上才可签名，可谓在增加安全性的同时牺牲了使用的便捷性。

二，使用 HSM 设备。这种方式要求您必须具有通用标准 EAL4+标准或 FIPS 140-2 级别 2 的HSM设备。这种设备昂贵，且一般的业务场景均不会用到这种设备。

三，使用 DigiCert KeyLocker（一种云 HSM）。DigiCert KeyLocker是 DigiCert 的安全云密钥存储解决方案。它方便易用，使您能够遵守行业对代码签名密钥对安全的要求，而不会有本地存储的风险。

如果您的数字签名需要通过云端的方式来实现，那么第三种 DigiCert KeyLocker 无疑是目前很合适的选择，使用相对更灵活。

Sign with SMCTL

Sign with DigiCert Click-to-sign

Sign with third-party signing tools

而使用这种方式，会在代码签名证书的费用之上额外增加 DigiCert KeyLocker 的使用服务费，详情咨询环度网信（ihuandu.com）