代码签名证书必须始终存储在安全设备上，这是其获得信任的前提条件。此外，将证书存储在令牌中可以防止其被滥用，因为它受密码保护，私钥无法导出。以下是我们的客户可以使用的代码签名证书存储选项。 

钥匙柜

这是将证书存储在云端的最安全、最现代化的方式。证书签发后，代码签名证书将上传至Keylocker服务，您可以在该服务上远程访问并使用哈希签名方法进行签名。它快速、安全，您无需自行担心证书或私钥的安全问题。阅读文章DigiCertKeyLocker（云HSM）了解更多关于Keylocker服务的信息。

订购代码签名证书时，只需选择Keylocker作为存储选项。之后，您将收到DigiCertONE帐户的邀请，您可以在该帐户中使用已颁发的证书。之后，您可以使用设置向导轻松配置与DigiCertONE的身份验证和通信。您可以继续使用signtool或其他熟悉的工具进行签名，但也可以访问DigiCert的签名实用程序。

哈希签名不仅是最安全的方法，也是最快捷的方法。它只对文件的哈希值进行签名，而不是像signtool那样对整个文件进行签名。

HW代币证书

存储代码签名证书的旧方法。CA目前使用SafeNet5110令牌。这允许存储其他证书并有效防止其被盗。

证书与私钥一起存储在令牌中，私钥无法导出。要使用证书，必须使用密码解锁令牌；输入错误密码10次后，令牌将被锁定并无法使用。因此，可以防止暴力破解密码攻击。 

令牌技术规格可在制造商的网站或数据表中找到。 

Token支持Windows Server 2008/R2、Windows Server 2012和2012 R2、Windows 7、Mac OS、Linux、Windows 8以及Windows 10/11系统。它通过标准USB端口（USBA型）连接，密钥存储容量为80KB。Token符合ISO7816-1至4标准。 

HSM（硬件安全模块）证书

一种称为HSM的设备是用于存储密钥、证书或其他加密信息的专用硬件（维基百科、百度百科）。HSM充当服务器，通常安装在机架上，并且通常看起来像机架服务器。

如果您的组织拥有这种专用硬件，则可以使用它来存储代码签名（当然还有其他）证书而不是令牌来简化（或自动化）签名过程。

但是，如果您没有HSM，则无需购买。如果您希望将代码签名证书存储在第三方云服务（例如Azure Key Vault或类似解决方案）中，也可以使用HSM存储选项。这是可以的，但必须在该云服务中生成CSR。

HSM保存选项是订购DigiCert CS EV 证书的一部分。请注意，如果您选择此选项，CA DigiCert将要求您证明您拥有真正安全且经过审核的设备。