Tento článek průvodce ukazuje, jak nainstalovat eSigner CKA a používat jej pro automatické a ruční podepisování kódu na Signtool.
eSigner CKA (Adaptér cloudového klíče) je aplikace založená na systému Windows, která využívá rozhraní CNG (KSP Key Service Provider), které umožňuje nástrojům, jako je certutil.exe a signtool.exe, používat API kompatibilní s eSigner Cloud Signature Consortium (CSC) pro operace podepisování podnikového kódu. Funguje jako virtuální USB token a načte certifikáty pro podepisování kódu do úložiště certifikátů.
eSigner CKA umožňuje flexibilní možnosti automatizace podepisování v procesech CI/CD, které neexistují s fyzickým tokenem USB. Pokyny, jak používat eSigner CKA pro automatické podepisování kódu v nástrojích CI/CD včetně CircleCI, GitHub Actions, Gitlab CI a Travis CI, naleznete na této stránce: Jak integrovat eSigner CKA s nástroji CI/CD pro automatické podepisování kódu.
POZNÁMKA
Tento výukový materiál vyžaduje následující:
- Vydán certifikát EV Code Signing.
- Certifikát EV Code Signing musí být aktuálně zaregistrován na eSigner. Pokud tomu tak není, prostudujte si toto průvodce článek.
- Nainstalovaná aplikace pro ověřování totožnosti na vašem mobilním telefonu, jako je aplikace Google authenticator.
Formulujte příkazový řádek
Komponenty příkazového řádku
Pro ruční i automatické podepisování kódu budete muset zadat do příkazového řádku vašeho textového editoru, jako např Příkazový řádek. Příkazový řádek obsahuje:
- Umístění SignTool (nástroj příkazového řádku, který je zodpovědný za digitální podepisování souboru a ověřuje podpis), v závorkách: „C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe”
- Projekt /fd sha256 možnost, která specifikuje Hash Algorithm
- Projekt / tr http://ts.ssl.com možnost, která specifikuje adresu serveru časového razítka
- /td sha256 možnost, která určuje algoritmus digestu časového razítka
- Projekt /sha1 volba, která určuje otisk palce, který SignTool používá k vyhledání příslušného certifikátu pro podepisování kódu z úložiště klíčů
- Skutečný otisk certifikátu
- Cesta k souboru, který bude podepsán, uzavřená v závorkách: „PATH SIGNABLE FILE PATH“
Celkově by měl příkazový řádek vypadat takto:
Znak „C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 otisk certifikátu „ PODPISOVATELNÁ CESTA SOUBORU”.
Pokud narazíte na tuto chybu:
The timestamp certificate does not meet a minimum public key length requirement, měli byste kontaktovat svého dodavatele softwaru, aby povolil časové značky z klíčů ECDSA.Pokud váš dodavatel softwaru nemůže žádným způsobem umožnit použití normálního koncového bodu, můžete použít tento starší koncový bod
http://ts.ssl.com/legacy získat časové razítko z jednotky RSA Timestamping Unit.Vyhledání miniatury vašeho certifikátu
Později po instalaci eSigner CKA a přidání certifikátu EV Code Signing do Úložiště uživatelských certifikátů, budete moci zkontrolovat otisk svého certifikátu EV Code Signing stisknutím Klávesa Windows + R a poté zadejte certmgr.msc pro přístup k úložišti uživatelských certifikátů. Když se objeví okno správce certifikátů, klikněte na Osobní složku na levém panelu a poté vyberte Certifikáty podsložku napravo, kde najdete svůj certifikát EV Code Signing.
Dvakrát klikněte na certifikát. Vyberte Podrobnosti a poté přejděte dolů, abyste zobrazili miniaturu. Zkopírujte otisk a vložte jej do příkazového řádku, když podepisujete kód.
Ruční podepisování kódu
Nainstalujte eSigner CKA
Při výběru režimu instalace vyberte Ruční podepisování kódu a potom klepněte na tlačítko OK.
Přihlaste se do programu eSigner CKA
Po instalaci eSigner CKA otevřete program a přihlaste se pomocí svého uživatelského jména a hesla k účtu SSL.com.
Po úspěšném přihlášení budete moci vidět název subjektu, kterému byl vydán certifikát pro podpis kódu EV, sériové číslo, datum vypršení platnosti a EVCS (Extended Validation Code Signing) zkratka.
Napište příkazový řádek do textového editoru
Pro připomenutí vypadá příkazový řádek pro podepisování kódu takto:
Znak „C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 otisk certifikátu „ PODPISOVATELNÁ CESTA SOUBORU”
Po napsání příkazového řádku v textovém editoru a stisknutí vstoupit, uvidíte zprávu Hotovo Přidání dalšího obchodu. Poté se objeví okno s výzvou k zadání uživatelského jména a hesla k účtu SSL.com.
Zadejte jednorázové heslo (OTP)
Jednorázové heslo (OTP) pro váš certifikát podpisu kódu EV zaregistrovaný v eSigner bude zasláno do vaší aplikace Authenticator. Po úspěšném zadání příkazový řádek oznámí, že váš soubor byl úspěšně podepsán.
Zkontrolujte digitální podpis v souboru
Po úspěšném podepsání kódu nyní můžete zkontrolovat podrobnosti digitálního podpisu v souboru. Klepněte pravým tlačítkem na podepsaný soubor, klepněte na Nemovitosti, poté následuje Digitální podpisy Tab. Zde uvidíte jméno podepisujícího, použitý algoritmus digest a časové razítko podpisu. Klikněte na Detaily pro získání dalších informací o podepsaném kódu.
Po kliknutí Detaily, budete si moci přečíst informace uvádějící Tento digitální podpis je v pořádku. Pokračujte kliknutím na Zobrazit certifikát .
Po kliknutí na tlačítko Zobrazit certifikát přečtete informaci, že digitální certifikát vydaný pro podepsaný soubor zajišťuje, že pochází od vydavatele, a chrání jej před změnami po zveřejnění.
Automatizované podepisování kódu
Nainstalujte eSigner CKA
Při výběru režimu instalace vyberte Automatizované podepisování kódu a potom klepněte na tlačítko OK.
Uložte soubor hlavního klíče
Zobrazí se poznámka vysvětlující důležitost zabezpečení souboru hlavního klíče. Přečtěte si jej a poté klikněte na tlačítko OK.
Poté se zobrazí okno, které vám umožní vybrat, kam uložíte soubor hlavního klíče.
Zadejte uživatelské jméno a heslo svého účtu SSL.com
Zadejte své uživatelské jméno a heslo k účtu SSL.com.
Zadejte svůj eSigner Časově založené jednorázové heslo (TOTP)
Poté zadejte své časově založené jednorázové heslo (TOTP). Svůj TOTP můžete najít v podrobnostech objednávky certifikátu EV Code Signing na vašem účtu SSL.com. Zadejte 4místný kód PIN, který jste dříve nastavili při registraci objednávky pro eSigner, a poté klikněte na Zobrazit QR kód tlačítko pro zobrazení TOTP.
Váš TOTP se zobrazí na poli označeném tajný kód. Zkopírujte TOTP a vložte jej do Tajemství TOTP pole okna eSigner CKA a poté klikněte na OK pro uložení.
Po zadání přihlašovacích údajů k účtu SSL.com a TOTP budete moci zobrazit podrobnosti o certifikátu EV Code Signing. V případě, že se rozhodnete aktualizovat svůj TOTP, vložte nový TOTP do přiděleného pole a poté klikněte Uložit.
Napište příkazový řádek do textového editoru
Pro připomenutí vypadá příkazový řádek pro podepisování kódu takto:
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ znak /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 otisk certifikátu „SIGNABLE CESTA SOUBORU”
Otevřená Příkazový řádek a umístěte příkazový řádek. Po stisknutí klávesy enter se zobrazí upozornění Hotovo Přidání dalšího obchodu.
Po několika sekundách uvidíte upozornění Úspěšně podepsáno. To znamená, že váš soubor byl podepsán automatizovaným způsobem bez další potřeby jednorázových hesel.
Zkontrolujte přítomnost digitálního podpisu ve vašem souboru
Otevřete umístění složky podepsaného souboru. Klikněte na něj pravým tlačítkem a poté klikněte Nemovitosti. Klikněte na záložku Digitální podpisy a zde uvidíte, že použitý bezpečný hashový algoritmus má 256 bitů. Klikněte na bezprostřední prostor zobrazující jméno podepisujícího, algoritmus výtahu a časové razítko. Poté, co se zvýrazní, pokračujte kliknutím na Detaily .
Poté se zobrazí vyskakovací okno s informací, že digitální podpis na souboru je platný, a také s uvedením konkrétního času, kdy byl podepsán. Klikněte na Zobrazit certifikát zobrazíte další informace o digitálním certifikátu EV Code Signing, který byl vydán.
Zobrazí se informace o certifikátu EV Code Signing, který uvádí, že vás ověřuje jako tvůrce spustitelného souboru a chrání váš soubor před manipulací.
Jak otestovat eSigner CKA se svým sandboxovým účtem
Nainstalujte eSigner CKA
Vyberte, zda jej chcete nainstalovat Manuál or Automatizovaný způsob.
****Uvědomte si, že pokud jste zvolili jeden režim, musíte program znovu nainstalovat, než jej budete moci vyzkoušet v jiném režimu.*****
Otevřete podadresář Roaming aplikace Appdata
Abyste mohli eSigner CKA otestovat pomocí svého sandboxového účtu SSL.com, musíte upravit nastavení aplikace v podadresáři Roaming ve složce AppData. Vstupte %Data aplikací% na vyhledávací liště Windows, abyste se dostali přímo do roamingového podadresáře AppData.
Otevřete eSigner Datový soubor s vaším textovým editorem
Otevřete eSignerCKA složku, vyhledejte soubor esignerapp.data, klikněte na něj pravým tlačítkem a v tomto případě vyberte možnost upravit soubor pomocí textového editoru Notepad + +.
Po otevření textového editoru uvidíte níže uvedené sady hodnot.
Sady hodnot můžete rozdělit do následujících řádků, aby bylo možné je snadněji upravovat.
Podepisování testu manuálního režimu
Pro testovací podepisování v ručním režimu by měly být přítomny následující hodnoty:
- ID klienta by mělo být: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
- přidat -Snaž se na api_url
Před: “api_url”:”https://cs.ssl.com/csc/v0/
Po: „api_url“:“https://cs-zkusit.ssl.com/csc/v0/" - Nahradit přihlásit se s oauth-sandbox na auth_url
Před: “auth_url”:”https://přihlásit se.ssl.com/oauth2/token”
Po: “auth_url”:”https://oauth-sandbox.ssl.com/oauth2/token” - "cred_mode": 0
- "master_key": null
Podepisování testu automatického režimu
Pro testovací podepisování v automatickém režimu by měly být přítomny následující hodnoty:
- ID klienta by mělo být: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
- přidat -Snaž se na api_url
Před: “api_url”:”https://cs.ssl.com/csc/v0/
Po: „api_url“:“https://cs-zkusit.ssl.com/csc/v0/" - Nahradit přihlásit se s oauth-sandbox na auth_url
Před: “auth_url”:”https://přihlásit se.ssl.com/oauth2/token”
Po: “auth_url”:”https://oauth-sandbox.ssl.com/oauth2/token” - "cred_mode": 1
- Nahradit null na master_key s přesnou cestou k vašemu souboru hlavní klíč soubor.
Při instalaci eSigner CKA v automatickém režimu za účelem testování musíte poskytnout přihlašovací údaje k účtu sandbox. Důvodem je to, že při automatickém podepisování kódu jsou přihlašovací údaje šifrovány pomocí hlavního klíče. Pokud při instalaci zadáte produkční přihlašovací údaje a později změníte hodnoty v souboru esignerapp.data podle formátu automatického testování, nebudete moci provádět testy, protože vámi zadané uživatelské jméno a heslo nejsou v testovacím prostředí sandbox přítomny.
Přihlaste se do eSigner CKA pomocí přihlašovacích údajů k účtu sandbox SSL.com
Po změně hodnot zap esignerapp.data, nyní můžete otestovat svůj certifikát pro podpis kódu EV z karantény podle stejných kroků, které byly popsány dříve pro živý certifikát.
Jak podepsat soubor Hardware Lab Kit (HLK) pomocí eSigner CKA a HLKSigntool
Hardware Lab Kit je nástroj pro testování a přípravu ovladače režimu jádra k odeslání společnosti Microsoft. V současné době vyžaduje eSigner CKA také instalaci nástroje HLKSigntool, aby mohl být používán v rámci softwaru HLK společnosti Microsoft.
Před spuštěním HLKSignTool.exe je nutné nejprve nainstalovat a nakonfigurovat eSigner CKA (přihlášený uživatel a nastavený tajný klíč TOTP).
Krok 1. Nainstalujte a nakonfigurujte eSigner CKA
Krok 2. Použijte HLKSignTool s příkazovým řádkem níže
Příkazový řádek
HLKSignTool.exe certifikát_serial „cesta_k_souboru“
Příklad:
HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"
Jak podepsat makra VBA pomocí eSigner CKA
Stáhněte a nainstalujte pomocí tohoto odkazu Balíčky předmětového rozhraní Microsoft Office pro digitální podepisování projektů VBA pomocí tohoto odkazu: https://www.microsoft.com/en-us/download/details.aspx?id=56617
Po instalaci proveďte následující kroky:
- Otevřete příkazový řádek správce a zadejte následující, cesta bude tam, kde jste právě nainstalovali soubory:
regsvr32.exe
regsvr32.exe
Další informace o registraci ovládacích prvků OLE naleznete na adrese Webové stránky společnosti Microsoft.
Pokud bude úspěšný, zobrazí se zpráva: „DIIRegister Server in uspěl."
- Nainstalujte následující: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
- Nainstalujte eSigner CKA
- Spusťte příkaz SignTool pro podepsání maker: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line
Jak podepisovat soubory .app pomocí eSigner CKA
- Ke stažení Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113
Poznámka: Pokud se pokusíte podepsat a .aplikace soubor pomocí eSigner CKA bez předchozí instalace Microsoft Aplikace Dynamics 365 Business Central, zobrazí se tato chyba SignTool: Tento formát souboru nelze podepsat, protože není rozpoznán. - Otevřete Dynamics.365.BC.55195.US.DVD.zip a extrahujte obsah do vámi preferovaného umístění.
- Otevřená setup.exe for Microsoft Dynamics 365 Business Central a klikněte na Následující> .
- Přečtěte si Licenční podmínky pro software společnosti Microsoft a poté klepněte na Přijímám > .
- Vybrat Pokročilé možnosti instalace
- klikněte Vyberte možnost instalace.
- Vyberte Server možnost instalace.
- Klepněte na tlačítko Podat žádost tlačítko.
- Počkejte na dokončení instalace. Po úspěšné instalaci klikněte na zavřít .
- Podepište svůj soubor .app na SignTool: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line
Jak podepsat soubory vsix pomocí eSigner CKA
- Stáhnout Dotnet Core SDK: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
- Nainstalujte OpenVsixSignTool
dotnet tool install -g OpenVsixSignTool - Použijte tento příkaz znamení:
OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamphttp://ts.ssl.com-ta sha256 -fd sha256 "SIGNABLE FILE PATH"
Jak používat Malware Scan na eSigner CKA
Instrukce:
- Přihlaste se ke svému účtu SSL.com. Klikněte na záložku objednávky a poté na download odkaz na váš certifikát pro zobrazení jeho podrobností. Přejděte dolů na PODPISOVÉ PRŮKAZY a vyhledejte část s přihlašovacími údaji certifikátu eSigner. Ujistěte se, že přepínače, které říkají podpisové pověření povoleno a povolen blokování malwaru jsou vybrány.
- Nainstalujte eSigner Cloud Key Adapter.
- Nainstalujte eSigner CodeSignTool. Klikněte zde ke stažení eSigner CodeSignTool.
- Naskenujte kód na CodeSignTool pomocí následujícího příkazu:
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME> - Pomocí nástroje Sign Tool podepište kód pomocí eSigner CKA pomocí následujícího příkazu:
scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>
parametry:
-input_file_path=<PATH>: Cesta objektu kódu, který má být podepsán.-username=<USERNAME>: SSL.com uživatelské jméno účtu-password=<PASSWORD>: SSL.com heslo k účtu.-program_name=<PROGRAM_NAME>: Název programu-credential_id=<CREDENTIAL_ID>: ID pověření pro podpisový certifikát. Vaše identifikační číslo eSigner se nachází ve vašem SSL.com stránka objednávky certifikátu.
SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro weby HTTPS, včetně:
