Denne vejledning viser dig, hvordan du signerer filer fra Windows-kommandolinjen med et kodesigneringscertifikat og en privat nøgle, der er gemt i Azure Key Vault. For at følge disse instruktioner har du brug for:
- An Azure-konto
- A Nøglehvelv
- A kodesigneringscertifikat installeret i din Key Vault. Du kan enten:
- Azure Sign Tool installeret på den computer, du vil bruge til signering
Hvad er Azure Sign Tool?
Azure Sign Tool er et open source-værktøj, der tilbyder SignTool funktionalitet til certifikater og nøgler, der er gemt i Azure Key Vault. Du kan installere Azure Sign Tool med følgende kommando i Windows PowerShell (kræver .NET SDK):
dotnet tool install --global AzureSignTool
Trin 1: Registrer en ny Azure-applikation
Først skal du registrere en ny Azure-applikation, så du kan oprette forbindelse til din Key Vault til signering.
- Log ind på Azure portal.
- Naviger til Azure Active Directory. (Klik Flere tjenester hvis Azure Active Directory-ikonet ikke er synligt.)
- Klik App-registreringeri venstre kolonne.
- Klik Ny registrering.
- Giv din ansøgning en Navn og klik på Registrer knap. Lad de andre indstillinger være på deres standardværdier.
- Din nye ansøgning er blevet registreret. Kopier og gem den viste værdi for Program (klient) ID, fordi du får brug for det senere.
- Klik Godkendelse.
- Under Avancerede indstillinger, sæt Tillad offentlige kundestrømme til
Yes
.
- Klik Gem.
Trin 2: Opret en klienthemmelighed
Dernæst generer en klienthemmelighed, der fungerer som legitimationsoplysninger, når du underskriver.
- Klik Certifikater & hemmeligheder i menuen til venstre.
- Klik Ny klienthemmelighed.
- Giv din klienthemmelighed en Beskrivelse, indstil udløb som ønsket, og klik på Tilføj .
- Kopier Værdi af din nye klienthemmelighed straks og gem det et sikkert sted. Næste gang siden opdateres, bliver denne værdi maskeret og uoprettelig.
Trin 3: Aktivér adgang i Key Vault
Nu skal du aktivere adgang til din applikation i Azure Key Vault.
- Naviger til Key Vault, der indeholder det certifikat, du vil bruge til signering, og klik på Adgangspolitikker .
- Klik Tilføj adgangspolitik.
- Under Nøgletilladelser, aktiver
Sign
.
- Under Certifikat tilladelser, aktiver
Get
.
- Klik på knappen Ingen valgt link under Vælg hoved, brug derefter søgefeltet til at finde og vælge den applikation, du oprettede i det foregående afsnit.
- Klik på knappen Type .
- Klik på knappen Tilføj .
- Klik Gem.
- Din adgangspolitik er indstillet, og du er klar til at begynde at signere filer.
Trin 4: Underskriv en fil
Nu er du endelig klar til at underskrive en kode!
- Du skal bruge følgende oplysninger til rådighed:
- Nedenfor er et eksempel på en kommando i PowerShell til at underskrive og tidsstemple en fil med Azure Sign Tool. Erstat værdierne i ALL CAPS med dine faktiske oplysninger:
azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFIKAT-NAVN -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.
Hvis du støder på denne fejl:The timestamp certificate does not meet a minimum public key length requirement
, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.
Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkthttp://ts.ssl.com/legacy
for at få et tidsstempel fra en RSA Timestamping Unit. - Hvis signering er vellykket, skal du se output som følger (mislykket signering giver ingen output):
info: AzureSignTool.Program [0] => Fil: test.exe Signeringsfil test.exe info: AzureSignTool.Program [0] => File: test.exe Undertegnelse blev gennemført med succes for fil test.exe. info PS C: \ Brugere \ Aaron Russell \ Desktop>
- Detaljer om den nye digitale signatur vil være tilgængelige i filegenskaberne: