证书密钥对必须在到达FIPS 140-2 Level2 或EAL4+通用规范以及更高规范的硬件加密模块中生成并存储。此

  本次代码签名基线要求（CSBR）处理了EV代码签名和OV代码签名证书的颁布问题。在此之前，CA/B论坛对EV代码签名和OV代码签名证书有不同的私钥维护要求。例如，EV代码签名证书是存储在Ukey中寄送到用户手中，而非EV代码签名（即OV代码签名）的密钥对能够在软件中生成，这就很简单导致私钥被分发，然后增加了私钥走漏的潜在危险。

  从 2022 年 11 月 15 日起，代码签名证书密钥对必须在到达FIPS 140-2 Level 2 或EAL4+通用规范以及更高规范的硬件加密模块中生成并存储。这就意味着不管OV代码签名仍是EV代码签名证书，他们的密钥对都需在一个硬件设备中生成，且不支撑导出私钥。无疑，这将有助于最大极限地下降私钥走漏的可能性。