Sådan automatiseres EV-kodesignering med SignTool.exe eller Certutil.exe ved hjælp af eSigner CKA (Cloud Key Adapter)

Lignende indhold

Kopiér artikellinket

eSigner CKA (Cloud Key Adapter) er et Windows-program, der bruger CNG-grænsefladen (KSP Key Service Provider) til at aktivere certutil.exe og signtool.exe at udføre kodesigneringsoperationer via eSigner CSC API.

Fungerer som en virtuel USB-token, indlæser den sikkert kodesigneringscertifikater i Windows-certifikatlageret uden at kræve fysisk hardware. Som en cloudbaseret signeringsmetode eliminerer eSigner CKA omkostningerne, de logistiske udfordringer og sikkerhedsrisiciene ved USB-tokens, samtidig med at den leverer signeringsfunktioner i virksomhedsklassen uden kompleksiteten ved netværksforbundne HSM'er. Dette gør den til en skalerbar, sikker og omkostningseffektiv løsning til moderne kodesigneringsarbejdsgange.

Denne vejledning dækker manuel og automatiseret kodesignering på Windows ved hjælp af SignTool med produktions- eller testcertifikater. I modsætning til fysiske tokens understøtter eSigner CKA avanceret automatisering, hvilket muliggør problemfri integration med CI/CD-værktøjer som f.eks. GitHub-handlinger, GitLab CI, CircleCI og Travis CIHvis du bruger et CI/CD-værktøj, kan du se denne relaterede vejledning: Sådan integreres eSigner CKA med CI/CD-værktøjer til automatiseret kodesignering.

Krav

  1. Et kodesigneringscertifikat udstedt af SSLcom. 
  2. Kodesigneringscertifikat skal i øjeblikket være tilmeldt eSigner. Se denne vejledning: Tilmeld dig eSigner til fjernunderskrift af dokumenter og kode
  3. Installer eSigner CKA på din computer, og konfigurer signeringstilstanden (manuel eller automatiseret) og signeringstypen (produktion eller test). Se denne artikel for installationsinstruktioner: Sådan installeres SSL.com eSigner Cloud Key Adapter (CKA).

Brugere kan signere kode med eSigners Extended Validation Code Signing-funktion. Klik nedenfor for mere info.

LÆR MERE

Valgfri procedure: Brug Pre-Signing Malware Scan

Malware Scan er en afgørende tjeneste fra SSL.com, der sikrer, at software er fri for malware, før den signeres med et kodesigneringscertifikat. Ved at integrere Malware Scan tilføjer udviklere et robust lag af sikkerhed, der automatisk stopper signeringsprocessen, hvis der opdages malware, og advarer udvikleren om at tage de nødvendige handlinger.

SSL.com forbeholder sig retten til at kræve malware-scanning, når der er stærke indikatorer for forhøjet sikkerhedsrisiko, og kunder har muligvis ikke lov til at fravælge, før sikkerhedsproblemerne er løst.

Instruktioner:

  1. Log ind på din SSL.com-konto. Klik på fanen ordrer efterfulgt af downloade link til dit certifikat for at vise dets detaljer. Rul ned til UNDERSKRIVNINGSBESKYTTELSER sektionen og find den del, der viser dine eSigner-certifikatoplysninger. Sørg for, at radioknapperne, der siger underskriftslegitimationsoplysninger aktiveret og malware-blokering aktiveret er valgt.
  2. Installer eSigner Cloud Key Adapter.
  3. Installer eSigner CodeSignTool. Klik link. for at downloade eSigner CodeSignTool.
  4. Scan koden på CodeSignTool ved hjælp af følgende kommando: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Brug SignTool til at signere koden med eSigner CKA ved hjælp af følgende kommando: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parametre:

  • -input_file_path=<PATH>: Sti til kodeobjekt, der skal underskrives.
  • -username=<USERNAME>SSL.com konto brugernavn
  • -password=<PASSWORD>SSL.com kontoadgangskode.
  • -program_name=<PROGRAM_NAME>: Navn på program
  • -credential_id=<CREDENTIAL_ID>: Legitimations-id til signering af certifikat. Dit eSigner-legitimations-id er placeret i din SSL.com certifikatbestillingsside.

Formuler kommandoen til signering af kode

Komponenter af kommandoen

For både manuel og automatiseret kodesignering, kommandoen indeholder:

  1. Placeringen af ​​SignTool (kommandolinjeværktøj, der er ansvarlig for digital signering af en fil og verificerer signaturen), omgivet af dobbelte anførselstegn. Eksempel: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
    Bemærk: Placeringen af ​​SignTool vil afhænge af den downloadede version af SDK og den anvendte arkitektur.
  2. /fd sha256 mulighed, der specificerer Hash-algoritmen
  3. /tr http://ts.ssl.com mulighed, som angiver tidsstemplet serveradresse
  4. /td sha256 mulighed, som specificerer tidsstemplets algoritme
  5. /sha1 indstilling, som angiver det tommelfingeraftryk, som SignTool bruger til at finde det passende kodesigneringscertifikat fra nøglelageret
  6. Den faktiske certifikat tommelfingeraftryk
  7. Stien til filen, der vil blive signeret, omgivet af dobbelte anførselstegn: "SIGNABLE FILE PATH"

Alt i alt skulle kommandoen se ud som følgende: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat thumbprint " SIGNERBAR FILVEJ"

Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.

Hvis du støder på denne fejl: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.

Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.

Find dit certifikats tommelfingeraftryk

Senere, efter installation af eSigner CKA og tilføjelse af dit EV Code Signing-certifikat til Butik med brugercertifikater, vil du være i stand til at kontrollere dit EV Code Signing-certifikats tommelfingeraftryk ved at trykke på Windows-tasten + R og skriv derefter ind certmgr.msc for at få adgang til brugercertifikatlageret. Når certifikathåndteringsvinduet dukker op, skal du klikke på Personligt mappe i venstre panel, og vælg derefter Certifikater undermappe til højre for at finde dit EV Code Signing-certifikat.

Dobbeltklik på certifikatet. Vælg Detaljer fanen og rul derefter ned for at få vist tommelfingeraftrykket. Kopier tommelfingeraftrykket og inkluder det i din kommando, når du signerer koden.

Gå til top

Manuel kodesignering

Installer eSigner CKA

Download SSL.COM eSigner CKA

Få adgang til SignTool via kommandolinjen

For at huske, ser kommandoen til kodesignering sådan ud: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat thumbprint " SIGNERBAR FILVEJ"

Når du skriver kommandoen og trykker på Indtast, vil du se beskeden Færdig med at tilføje yderligere butik. Et vindue vil derefter poppe op, der kræver, at du angiver dit brugernavn og din adgangskode til din SSL.com-konto.

Indtast One Time Password (OTP) 

Et engangskodeord (OTP) til dit eSigner-tilmeldte EV-kodesigneringscertifikat vil blive sendt til din Authenticator-app. Efter vellykket input vil kommandoprompt angive, at din fil er blevet signeret.

Succes! Din kode er nu underskrevet. 

Tjek den digitale signatur på filen

Efter vellykket kodesignering kan du nu kontrollere detaljerne for den digitale signatur på filen. Højreklik på den signerede fil, klik Ejendomme, efterfulgt af Digitale signaturer Tab. Her vil du se navnet på underskriveren, den anvendte sammenfatningsalgoritme og signaturens tidsstempling. Klik på Detaljer knappen for at få flere oplysninger om den signerede kode.

Du vil kunne læse oplysningerne om Denne digitale signatur er OK. Fortsæt med at klikke på Se certifikat .

Efter at klikke på Se certifikat knappen, vil du læse information, der indikerer, at det digitale certifikat, der er udstedt for den signerede fil, sikrer, at den kom fra udgiveren og beskytter den mod ændring efter udgivelsen.

Gå til top

Automatiseret kodesignering

Få adgang til SignTool via kommandoen

For at huske, ser kommandoen til kodesignering sådan ud: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat thumbprint "SIGNABLE FILSTIEN"

Åbne Kommandoprompt og placere kommandoen. Når du har trykket på Enter, vil du se meddelelsen Færdig med at tilføje yderligere butik.

Efter et par sekunder vil du se meddelelsen Underskrevet med succes. Dette angiver, at din fil er blevet underskrevet på en automatiseret måde, uden yderligere behov for OTP'er. 

Tjek tilstedeværelsen af ​​den digitale signatur på din fil

Åbn mappeplaceringen for din signerede fil. Højreklik på det, og klik derefter Ejendomme. Klik på fanen Digitale signaturer og her vil du se, at den anvendte sikre hash-algoritme har 256 bit. Klik på det umiddelbare mellemrum, der viser navnet på underskriveren, sammenfattende algoritme og tidsstempel. Når den er fremhævet, skal du fortsætte med at klikke på Detaljer .

Et pop op-vindue vil derefter vise, at den digitale signatur på filen er gyldig, samt angive det specifikke tidspunkt, hvor den blev underskrevet. Klik på Se certifikat knappen for at se flere oplysninger om det digitale EV Code Signing-certifikat, der blev udstedt. 

Du vil se oplysninger om EV Code Signing-certifikatet, der angiver, at det validerer dig som skaberen af ​​den eksekverbare og beskytter din fil mod at blive manipuleret. 

Gå til top

Relaterede kodesigneringsvejledninger ved hjælp af eSigner CKA

  • Signering af Hardware Lab Kit (HLK) filer – Brug eSigner CKA med HLKSigntool at teste og forberede kerneltilstandsdrivere til indsendelse fra Microsoft. Integration med Microsofts HLK-platform kræver HLKSigntool.
  • Signering af VBA-makroer – Lær, hvordan du signerer Microsoft Visual Basic for Applications (VBA)-makroer, som automatiserer opgaver i Office-programmer uden at kræve programmeringsekspertise.
  • Signering af .app-filer – Skilt .app filer til sikkert at definere og referere til identiteten af ​​en komplet Microsoft-applikationsløsning.
  • Signering af .vsix-filer – Skilt .vsix Installationspakker til Visual Studio-udvidelser og tilføjelser, hvilket sikrer integritet og autenticitet for IDE-komponenter.

Brug for mere information om cloudbaseret underskrift? 

  1. eSigner: Kodesignering som en tjeneste
  2. Cloud Code Signing Automation med CI/CD-tjenester

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse
Beskyttelse af personlige oplysninger
SSL.com

Dette websted bruger cookies, så vi kan give dig den bedst mulige brugeroplevelse. Cookieoplysninger gemmes i din browser og udfører funktioner som at genkende dig, når du vender tilbage til vores websted og hjælpe vores team med at forstå, hvilke sektioner på webstedet du finder mest interessante og nyttige.

For mere information, se vores Cookie- og fortrolighedserklæring.

3. parts cookies

Denne hjemmeside bruger Google Analytics & Stattæller at indsamle anonyme oplysninger såsom antallet af besøgende på webstedet og de mest populære sider.

At holde disse cookies aktiveret hjælper os med at forbedre vores websted.

Vis detaljer
drevet af  GDPR Cookie-overholdelse