Kodesignering med Azure Key Vault

Denne vejledning viser dig, hvordan du signerer filer fra Windows-kommandolinjen med et kodesigneringscertifikat og en privat nøgle, der er gemt i Azure Key Vault. For at følge disse instruktioner har du brug for:

• An Azure-konto
• A Nøglehvelv
• A kodesigneringscertifikat installeret i din Key Vault. Du kan enten:
  • Generer en CSR og installer et certifikat i Key Vault or
  • Importer et certifikat til Key Vault
• Azure Sign Tool installeret på den computer, du vil bruge til signering

Hvad er Azure Sign Tool?

Azure Sign Tool er et open source-værktøj, der tilbyder SignTool funktionalitet til certifikater og nøgler, der er gemt i Azure Key Vault. Du kan installere Azure Sign Tool med følgende kommando i Windows PowerShell (kræver .NET SDK):

dotnet tool install --global AzureSignTool

Trin 1: Registrer en ny Azure-applikation

Først skal du registrere en ny Azure-applikation, så du kan oprette forbindelse til din Key Vault til signering.

1. Log ind på Azure portal.
   
2. Naviger til Azure Active Directory. (Klik Flere tjenester hvis Azure Active Directory-ikonet ikke er synligt.)
   
3. Klik App-registreringeri venstre kolonne.
   
4. Klik Ny registrering.
   
5. Giv din ansøgning en Navn og klik på Tilmeld knap. Lad de andre indstillinger være på deres standardværdier.
   
6. Din nye ansøgning er blevet registreret. Kopier og gem den viste værdi for Program (klient) ID, fordi du får brug for det senere.
   
7. Klik Godkendelse.
   
8. Under Avancerede indstillinger, sæt Tillad offentlige kundestrømme til Yes.
   
9. Klik Gem.
   

Trin 2: Opret en klienthemmelighed

Dernæst generer en klienthemmelighed, der fungerer som legitimationsoplysninger, når du underskriver.

1. Klik Certifikater & hemmeligheder i menuen til venstre.
   
2. Klik Ny klienthemmelighed.
   
3. Giv din klienthemmelighed en Beskrivelse, indstil udløb som ønsket, og klik på Tilføj .
   
4. Kopier Værdi af din nye klienthemmelighed straks og gem det et sikkert sted. Næste gang siden opdateres, bliver denne værdi maskeret og uoprettelig.
   

Trin 3: Aktivér adgang i Key Vault

Nu skal du aktivere adgang til din applikation i Azure Key Vault.

1. Naviger til Key Vault, der indeholder det certifikat, du vil bruge til signering, og klik på Adgangspolitikker .
   
2. Klik Tilføj adgangspolitik.
   
3. Under Nøgletilladelser, aktiver Sign.
   
4. Under Certifikat tilladelser, aktiver Get.
   
5. Klik på knappen Ingen valgt link under Vælg hoved, brug derefter søgefeltet til at finde og vælge den applikation, du oprettede i det foregående afsnit.
   
6. Klik på knappen Type .
   
7. Klik på knappen Tilføj .
   
8. Klik Gem.
   
9. Din adgangspolitik er indstillet, og du er klar til at begynde at signere filer.
   

Trin 4: Underskriv en fil

Nu er du endelig klar til at underskrive en kode!

1. Du skal bruge følgende oplysninger til rådighed:
   • Din Key Vault URI (tilgængelig i Azure-portalen):
     
   • venligt navn af dit certifikat i Key Vault:
     
   • Program (klient) ID værdi fra din Azure-applikation:
     
   • hemmelig shopper du genererede ovenfor:
     
2. Nedenfor er et eksempel på en kommando i PowerShell til at underskrive og tidsstemple en fil med Azure Sign Tool. Erstat værdierne i ALL CAPS med dine faktiske oplysninger:

   azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFIKAT-NAVN -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE

   Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.
   
   Hvis du støder på denne fejl: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.
   
   Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.
3. Hvis signering er vellykket, skal du se output som følger (mislykket signering giver ingen output):

   info: AzureSignTool.Program [0] => Fil: test.exe Signeringsfil test.exe info: AzureSignTool.Program [0] => File: test.exe Undertegnelse blev gennemført med succes for fil test.exe. info PS C: \ Brugere \ Aaron Russell \ Desktop>

4. Detaljer om den nye digitale signatur vil være tilgængelige i filegenskaberne: