Sådan automatiseres EV-kodesignering med Signtool.exe eller Certutil.exe ved hjælp af eSigner CKA (Cloud Key Adapter)

Denne guideartikel viser, hvordan du installerer eSigner CKA og bruger den til automatisk og manuel kodesignering på Signtool. 

eSigner CKA (Cloud Key Adapter) er en Windows-baseret applikation, der bruger CNG-grænsefladen (KSP Key Service Provider) til at tillade værktøjer som certutil.exe og signtool.exe at bruge den eSigner Cloud Signature Consortium (CSC)-kompatible API til virksomhedskodesignering. Det fungerer som et virtuelt USB-token og indlæser kodesigneringscertifikaterne til certifikatlageret.

eSigner CKA giver mulighed for fleksible muligheder for at automatisere signeringer i CI/CD-processer, der ikke eksisterer med et fysisk USB-token. Besøg denne side for at få vejledning i, hvordan du bruger eSigner CKA til automatiseret kodesignering i CI/CD-værktøjer, herunder CircleCI, GitHub Actions, Gitlab CI og Travis CI: Sådan integreres eSigner CKA med CI/CD-værktøjer til automatiseret kodesignering.

BEMÆRK 

Dette instruktionsmateriale kræver følgende: 

  1. Udstedt EV Code Signing certifikat. 
  2. EV Code Signing certifikat skal i øjeblikket være tilmeldt eSigner. Hvis dette ikke er tilfældet, henvises til dette guide artikel
  3. En installeret authenticator-app på din mobiltelefon som Google Authenticator-app.

 

Brugere kan signere kode med eSigners Extended Validation Code Signing-funktion. Klik nedenfor for mere info.

LÆR MERE

Formuler kommandolinjen

Komponenter i kommandolinjen

For både manuel og automatiseret kodesignering skal du indtaste kommandolinjen på din teksteditor, som f.eks Kommandoprompt. Kommandolinjen indeholder:

  1. Placeringen af ​​SignTool (kommandolinjeværktøj, der er ansvarlig for digital signering af en fil og verificerer signaturen), indesluttet i parentes: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
  2. /fd sha256 mulighed, der specificerer Hash-algoritmen
  3. /tr http://ts.ssl.com mulighed, som angiver tidsstemplet serveradresse
  4. /td sha256 mulighed, som specificerer tidsstemplets algoritme
  5. /sha1 indstilling, som angiver det tommelfingeraftryk, som SignTool bruger til at finde det passende kodesigneringscertifikat fra nøglelageret
  6. Selve certifikatets tommelfingeraftryk
  7. Stien til filen, der vil blive signeret, omgivet af parentes: "SIGNABLE FILE PATH"

Overordnet set skulle kommandolinjen se ud som følgende: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat thumbprint " SIGNERBAR FILVEJ"

Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.

Hvis du støder på denne fejl: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.

Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.

Find dit certifikats tommelfingeraftryk

Senere, efter installation af eSigner CKA og tilføjelse af dit EV Code Signing-certifikat til Butik med brugercertifikater, vil du være i stand til at kontrollere dit EV Code Signing-certifikats tommelfingeraftryk ved at trykke på Windows-tasten + R og skriv derefter ind certmgr.msc for at få adgang til brugercertifikatlageret. Når certifikathåndteringsvinduet dukker op, skal du klikke på Personligt mappe i venstre panel, og vælg derefter Certifikater undermappe til højre for at finde dit EV Code Signing-certifikat.

Dobbeltklik på certifikatet. Vælg Detaljer fanen, og rul derefter ned for at få vist tommelfingeraftrykket. Kopier tommelfingeraftrykket og inkluder det i din kommandolinje, når du signerer koden.

Manuel kodesignering

Installer eSigner CKA

Når du vælger installationstilstand, skal du vælge Manuel kodesignering og klik derefter på knappen OK.

Log ind på eSigner CKA-programmet

Efter installationen af ​​eSigner CKA skal du åbne programmet og logge på med dit SSL.com-brugernavn og din adgangskode.

Ved vellykket login vil du være i stand til at se navnet på den enhed, som EV-kodesigneringscertifikatet blev udstedt til, serienummeret, udløbsdatoen og EVCS (Extended Validation Code Signing) akronym.

Skriv kommandolinjen i teksteditoren

For at huske, ser kommandolinjen til kodesignering sådan ud: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat thumbprint " SIGNERBAR FILVEJ"

Når du skriver kommandolinjen på din teksteditor og trykker på Indtast, vil du se beskeden Færdig med at tilføje yderligere butik. Et vindue vil derefter poppe op, der kræver, at du angiver dit brugernavn og din adgangskode til din SSL.com-konto.

Indtast One Time Password (OTP) 

Et engangskodeord (OTP) til dit eSigner-tilmeldte EV-kodesigneringscertifikat vil blive sendt til din Authenticator-app. Efter vellykket input vil kommandoprompt angive, at din fil er blevet signeret.

Tjek den digitale signatur på filen

Efter vellykket kodesignering kan du nu kontrollere detaljerne for den digitale signatur på filen. Højreklik på den signerede fil, klik Ejendomme, efterfulgt af Digitale signaturer Tab. Her vil du se navnet på underskriveren, den anvendte sammenfatningsalgoritme og signaturens tidsstempling. Klik på Detaljer knappen for at få flere oplysninger om den signerede kode.

Ved klik Detaljer, vil du kunne læse oplysningerne om Denne digitale signatur er OK. Fortsæt med at klikke på Se certifikat .

Efter at klikke på Se certifikat knappen, vil du læse information, der indikerer, at det digitale certifikat, der er udstedt for den signerede fil, sikrer, at den kom fra udgiveren og beskytter den mod ændring efter udgivelsen.

Automatiseret kodesignering

Installer eSigner CKA

Når du vælger installationstilstand, skal du vælge Automatiseret kodesignering og klik derefter på knappen OK.

Gem hovednøglefilen

En note vil dukke op, der forklarer vigtigheden af ​​at sikre hovednøglefilen. Læs den og klik derefter på OK-knappen.

Et vindue vil derefter poppe op, så du kan vælge, hvor du vil gemme hovednøglefilen.

Indtast dit brugernavn og din adgangskode til din SSL.com-konto

Indtast dit brugernavn og din adgangskode til din SSL.com-konto.

Indtast din eSigner Tidsbaseret engangsadgangskode (TOTP)

Indsæt derefter din tidsbaserede engangsadgangskode (TOTP). Du kan finde din TOTP inkluderet i ordredetaljerne for EV Code Signing-certifikat på din SSL.com-konto. Indtast den 4-cifrede PIN-kode, som du tidligere har indstillet, da du tilmeldte din ordre til eSigner, og klik derefter på Vis QR-kode knappen for at afsløre TOTP.

Din TOTP vil blive vist på en boks mærket hemmelig kode. Kopier TOTP'en, indsæt den på TOTP-hemmelighed feltet i eSigner CKA-vinduet, og klik derefter på OK knappen for at gemme den. 

Når du har indtastet dine SSL.com-kontooplysninger og TOTP, vil du være i stand til at se detaljerne for dit EV Code Signing-certifikat. Hvis du beslutter dig for at opdatere din TOTP, skal du indsætte den nye TOTP i det tildelte felt og derefter klikke Gem.

Skriv kommandolinjen i teksteditoren

For at huske, ser kommandolinjen til kodesignering sådan ud: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat thumbprint "SIGNABLE FILSTIEN"

Åbne Kommandoprompt og placere kommandolinjen. Når du har trykket på Enter, vil du se meddelelsen Færdig med at tilføje yderligere butik.

Efter et par sekunder vil du se meddelelsen Underskrevet med succes. Dette angiver, at din fil er blevet underskrevet på en automatiseret måde, uden yderligere behov for OTP'er. 

Tjek tilstedeværelsen af ​​den digitale signatur på din fil

Åbn mappeplaceringen for din signerede fil. Højreklik på det, og klik derefter Ejendomme. Klik på fanen Digitale signaturer og her vil du se, at den anvendte sikre hash-algoritme har 256 bit. Klik på det umiddelbare mellemrum, der viser navnet på underskriveren, sammenfattende algoritme og tidsstempel. Når den er fremhævet, skal du fortsætte med at klikke på Detaljer .

Et pop op-vindue vil derefter vise, at den digitale signatur på filen er gyldig, samt angive det specifikke tidspunkt, hvor den blev underskrevet. Klik på Se certifikat knappen for at se flere oplysninger om det digitale EV Code Signing-certifikat, der blev udstedt. 

Du vil se oplysninger om EV Code Signing-certifikatet, der angiver, at det validerer dig som skaberen af ​​den eksekverbare og beskytter din fil mod at blive manipuleret. 

Sådan tester du eSigner CKA med din sandbox-konto

Installer eSigner CKA

Vælg, om den skal installeres i Manuel or Automatiseret tilstand

****Bemærk, at hvis du har valgt én tilstand, skal du geninstallere programmet, før du kan teste det i den anden tilstand.*****

Åbn Roaming-undermappen til Appdata

 For at teste eSigner CKA ved hjælp af din SSL.com-sandbox-konto, skal du ændre programmets indstillinger i undermappen Roaming i AppData-mappen. Gå ind %Appdata% på Windows-søgelinjen for at tage dig direkte til roaming-underbiblioteket til AppData.

Åbn eSigner DATA fil med din teksteditor

Åbne eSignerCKA mappe, skal du finde filen esignerapp.data, højreklik på den og vælg muligheden for at redigere filen ved hjælp af din teksteditor, i dette tilfælde Notepad + +

Når du åbner teksteditoren, vil du se værdisættene nedenfor.

Du kan adskille værdisættene i efterfølgende rækker, så de kan være nemmere at redigere. 

Manuel tilstand testsignering

For testsignering i manuel tilstand skal følgende værdier være til stede:

  1. Klient-id'et skal være: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Tilføj -prøve på api_url
    Før: "api_url":"https://cs.ssl.com/csc/v0/
    Efter: "api_url":"https://cs-try.ssl.com/csc/v0/"
  3. udskifte Logge på med oauth-sandkasse på auth_url
    Før: "auth_url":"https://Logge på.ssl.com/oauth2/token"
    Efter: "auth_url":"https://oauth-sandkasse.ssl.com/oauth2/token"
  4. "cred_mode": 0
  5. "master_key": null

Automatiseret tilstandstestsignering

For testsignering i automatiseret tilstand skal følgende værdier være til stede:

  1. Klient-id'et skal være: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Tilføj -prøve på api_url
    Før: "api_url":"https://cs.ssl.com/csc/v0/
    Efter: "api_url":"https://cs-try.ssl.com/csc/v0/"
  3. udskifte Logge på med oauth-sandkasse på auth_url
    Før: "auth_url":"https://Logge på.ssl.com/oauth2/token"
    Efter: "auth_url":"https://oauth-sandkasse.ssl.com/oauth2/token"
  4. "cred_mode": 1
  5. udskifte null på master_key med den nøjagtige filsti til din master nøgle fil.
    Når du installerer eSigner CKA i automatiseret tilstand med det formål at teste, skal du angive loginoplysningerne til din sandbox-konto. Årsagen er, at login-legitimationsoplysninger ved automatisk kodesignering krypteres ved hjælp af hovednøglen. Hvis du indtaster login-legitimationsoplysninger til produktion ved installationen og senere ændrer værdierne på filen esignerapp.data efter et automatiseret testformat, vil du ikke være i stand til at udføre tests, fordi det brugernavn og adgangskode, du har givet, ikke findes i sandbox-testmiljøet.

Log ind på eSigner CKA ved hjælp af dine SSL.com sandbox-kontooplysninger

Efter at have ændret værdierne på esignerapp.data, du kan nu teste dit EV-kodesigneringscertifikat fra din sandbox ved at følge de samme trin som tidligere beskrevet for et live-certifikat.

Sådan signeres en Hardware Lab Kit-fil (HLK) ved hjælp af eSigner CKA og HLKSigntool

Hardware Lab Kit er et værktøj til at teste og forberede en kernetilstandsdriver til indsendelse til Microsoft. I øjeblikket kræver eSigner CKA også, at HLKSigntool er installeret for at kunne bruges i Microsofts HLK-software 

eSigner CKA skal først installeres og konfigureres (bruger logget ind og TOTP-hemmeligt sæt), før HLKSignTool.exe køres. 

Trin 1. Installer og konfigurer eSigner CKA

Trin 2. Brug HLKSignTool med kommandolinjen nedenfor

Kommandolinje
HLKSignTool.exe certificate_serial "sti_til_fil"

Eksempel:

HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"

Sådan signerer du VBA-makroer ved hjælp af eSigner CKA

Download og installer ved hjælp af dette link Microsoft Office Emne Interface-pakker til digital signering af VBA-projekter ved hjælp af dette link: https://www.microsoft.com/en-us/download/details.aspx?id=56617

Når det er installeret, skal du udføre følgende trin:

  1. Åbn en administratorkommandoprompt og skriv følgende, stien vil være, hvor du lige har installeret filerne:

    regsvr32.exe

    regsvr32.exe

    For mere information om, hvordan du registrerer OLE-kontroller, besøg Microsofts hjemmeside.

    Hvis det lykkes, vil du se en meddelelse: "DIIRegister Server in lykkedes."

  2. Installer følgende: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
  3. Installer eSigner CKA
  4. Kør SignTool-kommandoen for at signere makroer: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Sådan signeres .app-filer ved hjælp af eSigner CKA

  1. Hent Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113 
    Bemærk: Hvis du forsøger at underskrive en .app fil ved hjælp af eSigner CKA uden først at installere Microsoft Dynamics 365 Business Central-applikation, får du denne SignTool-fejl: Dette filformat kan ikke signeres, fordi det ikke genkendes.
  2. Åbne Dynamics.365.BC.55195.US.DVD.zip og udtræk indholdet til din foretrukne placering.
  3. Åbne setup.exe forum microsoft Dynamics 365 Business Central, og klik på Næste> .
  4. Læs Microsoft-softwarelicensvilkårene, og klik derefter på Jeg accepterer > .
  5. Vælg Avancerede installationsmuligheder
  6. Klik Vælg en installationsmulighed.
  7. Vælg den Server installationsmulighed.
  8. Klik på knappen Indløs Knappen.
  9. Vent på, at installationen er fuldført. Når installationen er gennemført, skal du klikke på Luk .
  10. Signer din .app-fil på SignTool: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Sådan signeres vsix-filer ved hjælp af eSigner CKA

  1. Download Dotnet Core SDK: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
  2. Installer OpenVsixSignTool
    dotnet tool install -g OpenVsixSignTool
  3. Brug denne tegnkommando:
    OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamp http://ts.ssl.com -ta sha256 -fd sha256 "SIGNABLE FILE PATH"

Sådan bruger du Malware Scan på eSigner CKA

Instruktioner:

  1. Log ind på din SSL.com-konto. Klik på fanen ordrer efterfulgt af downloade link til dit certifikat for at vise dets detaljer. Rul ned til UNDERSKRIVNINGSBESKYTTELSER sektionen og find den del, der viser dine eSigner-certifikatoplysninger. Sørg for, at radioknapperne, der siger underskriftslegitimationsoplysninger aktiveret og malware-blokering aktiveret er valgt.
  2. Installer eSigner Cloud Key Adapter.
  3. Installer eSigner CodeSignTool. Klik link. for at downloade eSigner CodeSignTool.
  4. Scan koden på CodeSignTool ved hjælp af følgende kommando: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Brug Sign Tool til at signere koden med eSigner CKA ved hjælp af følgende kommando: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parametre:

  • -input_file_path=<PATH>: Sti til kodeobjekt, der skal underskrives.
  • -username=<USERNAME>SSL.com konto brugernavn
  • -password=<PASSWORD>SSL.com kontoadgangskode.
  • -program_name=<PROGRAM_NAME>: Navn på program
  • -credential_id=<CREDENTIAL_ID>: Legitimations-id til signering af certifikat. Dit eSigner-legitimations-id er placeret i din SSL.com certifikatbestillingsside.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.