GitHub Actions藏了3年的代碼簽名方案

每年燒掉47萬美元證書費，還是自己動手搭云？這是每個在GitHub Actions上發Windows應用的團隊都要算的賬。

代碼簽名這事，說穿了就是給可執行文件蓋個"我沒被篡改"的電子章。但把這套流程塞進CI/CD流水線，私鑰放哪、怎么調用、證書過期后簽名還能不能活——每個環節都是坑。一位微軟背景的工程師最近把整套架構扒了個底朝天，結論有點反直覺：CA（證書頒發機構）托管的HSM，貴到離譜。

CA托管HSM的隱形賬單：按次收費，越簽越虧

云HSM分兩種玩法。一種是當甩手掌柜，把私鑰扔給CA托管；另一種是自己在AWS、Azure或GCP上搭HSM集群，自己管鑰匙。

CA托管的方案聽起來省事，直到你看到計費方式：按年統計代碼簽名次數，簽一次算一次。對于發布頻率高的團隊，這筆賬會指數級膨脹。那位工程師的原話是："those costs can be quite high"——翻譯成人話就是，簽得越多，虧得越麻。

自建云HSM的前期投入確實存在。你得搭基礎設施、配網絡策略、寫自動化腳本。但如果團隊已經有DevOps能力，這筆固定成本攤到高頻簽名場景里，反而比按次付費便宜一個數量級。

他的建議很直接：if managing your own infrastructure is not a burden, using your own cloud HSM is the recommended approach。不是所有人都該自建，但算完TCO（總擁有成本）后，自建往往是更狠的選擇。

時間戳：讓簽名在證書死后繼續活命的保險

很多人忽略的一個細節：代碼簽名證書會過期，但你的軟件可能還要被安裝很多年。

不帶時間戳的簽名，依賴的是簽名者自己電腦上的系統時間。這意味著我可以把機器時間調到2020年，用一個2023年才過期的證書去簽一個惡意文件。第三方沒法驗證"簽名時證書是否真的有效"。證書一死，簽名跟著作廢，用戶安裝時直接彈紅框警告。

加上可信第三方時間戳后，邏輯徹底變了。時間戳服務器（如DigiCert、Sectigo提供的）會加蓋一個"此簽名發生于某年某月某日"的獨立證明。驗證方可以交叉比對：簽名時間是否在證書有效期內？證書當時是否已被吊銷？

結果是：證書過期了，簽名依然有效。只要時間戳證明你是在證書活著的時候簽的，且當時證書沒被 revoke，這個簽名就永久可信。

這位工程師把這一步列為必做項，沒有商量余地。

私鑰與證書分離：GitHub Actions Runner上的最小權限原則

整套架構的核心安全設計在于：私鑰永遠不出HSM，證書文件可以隨便放。

CA頒發的代碼簽名證書里只有公鑰和身份信息，沒有私鑰。這意味著你可以把它以文件形式塞進GitHub Actions Runner，甚至直接寫進倉庫Secret，風險可控。真正的私鑰生成在HSM內部，通過PKCS#11引擎對外暴露簽名接口。

具體流程分三步：先在自建云HSM里生成密鑰對，然后在本地Linux機器用OpenSSL創建CSR（證書簽名請求），最后把CSR扔給CA換正式證書。

那位工程師貼出的OpenSSL命令長這樣：

export PKCS11_MODULE_PATH=/tmp/libkmsp11-1.6-linux-amd64-fips/libkmsp11.so

export KMS_PKCS11_CONFIG=/tmp/pkcs11-config.yaml

openssl req -new -subj '/CN=example.com/' -sha256 \

-key pub.pem -engine pkcs11 -keyform engine \

-key pkcs11:object=sign_key_name > cert-request.csr

PKCS11_MODULE_PATH指向云HSM的驅動庫，KMS_PKCS11_CONFIG是連接配置。關鍵參數是-engine pkcs11，它告訴OpenSSL：別碰本地文件，去調用HSM里的密鑰。

嫌麻煩？CA托管的HSM確實能幫你半自動化這一步。但回到開頭那個問題：你愿為"省事"每年多付多少萬？

GitHub Actions流水線里的最后一塊拼圖

架構圖的核心邏輯很清晰：GitHub Actions的Windows Runner通過安全通道連接云HSM，簽名時私鑰運算在HSM內部完成，簽名結果返回Runner打包進安裝包。

整個流程的瓶頸不在技術，而在成本模型的選擇。那位工程師的調研結論可以總結為一張決策表：低頻發布、無運維團隊 → CA托管；高頻發布、有DevOps能力 → 自建云HSM。

他沒有給出具體的自建成本數字，但暗示了規模效應：簽名次數越多，自建的優勢越明顯。對于一個每周發多個版本的團隊，按次付費的CA方案可能在幾個季度內就超過自建HSM的年固定成本。

時間戳服務器的選擇倒是簡單，主流CA都免費提供，配置進簽名工具即可。signtool.exe的/tr參數就是干這個的。

這套方案在GitHub Actions生態里不算新鮮，但完整公開架構圖和成本對比的文檔并不多。微軟背景的工程師愿意把內部調研發出來，某種程度上也說明：這不是什么需要保密的競爭優勢，而是行業基礎設施的共識。

最后一個細節：那位工程師在文末提到，如果生成私鑰和創建CSR的過程太繁瑣，CA托管方案確實有半自動化優勢。但他沒有改結論。對于愿意頭鐵自建基礎設施的團隊，省下的證書費夠養半個DevOps工程師——這筆賬，你會怎么算？