Kodesignering med Azure Key Vault

Instruktioner til kodesignering fra Windows-kommandolinjen med et certifikat og en privat nøgle gemt i Azure Key Vault.

Denne vejledning gælder kun for IV- og OV-kodesigneringscertifikater, der blev udstedt før 1. juni 2023. Fra 1. juni 2023, SSL.com's organisationsvalidering (OV) og individuel validering (IV) kodesigneringscertifikater er blevet udstedt enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gennem vores eSigner cloud-kodesigneringstjeneste. Denne ændring er i overensstemmelse med Certificate Authority/Browser (CA/B) Forums nye nøglelagringskrav for at øge sikkerheden for kodesigneringsnøgler.

Denne vejledning viser dig, hvordan du signerer filer fra Windows-kommandolinjen med et kodesigneringscertifikat og en privat nøgle, der er gemt i Azure Key Vault. For at følge disse instruktioner har du brug for:

Hvad er Azure Sign Tool?

Azure Sign Tool er et open source-værktøj, der tilbyder SignTool funktionalitet til certifikater og nøgler, der er gemt i Azure Key Vault. Du kan installere Azure Sign Tool med følgende kommando i Windows PowerShell (kræver .NET SDK):

dotnet tool install --global AzureSignTool

[/ Su_note]

Trin 1: Registrer en ny Azure-applikation

Først skal du registrere en ny Azure-applikation, så du kan oprette forbindelse til din Key Vault til signering.

  1. Log ind på Azure portal.
    Log ind på Azure
  2. Naviger til Azure Active Directory. (Klik Flere tjenester hvis Azure Active Directory-ikonet ikke er synligt.)
    Azure Active Directory
  3. Klik App-registreringeri venstre kolonne.
    App-registreringer
  4. Klik Ny registrering.
    Ny registrering
  5. Giv din ansøgning en Navn og klik på Registrer knap. Lad de andre indstillinger være på deres standardværdier.
    Registrer ansøgning
  6. Din nye ansøgning er blevet registreret. Kopier og gem den viste værdi for Program (klient) ID, fordi du får brug for det senere.
    Program (klient) ID
  7. Klik Godkendelse.
    Godkendelse
  8. Under Avancerede indstillinger, sæt Tillad offentlige kundestrømme til Yes.
    Tillad offentlige kundestrømme
  9. Klik Gem.
    Gem

Trin 2: Opret en klienthemmelighed

Dernæst generer en klienthemmelighed, der fungerer som legitimationsoplysninger, når du underskriver.

  1. Klik Certifikater & hemmeligheder i menuen til venstre.
    Certifikater & hemmeligheder
  2. Klik Ny klienthemmelighed.
    Ny klienthemmelighed
  3. Giv din klienthemmelighed en Beskrivelse, indstil udløb som ønsket, og klik på Tilføj .
    Tilføj klienthemmelighed
  4. Kopier Værdi af din nye klienthemmelighed straks og gem det et sikkert sted. Næste gang siden opdateres, bliver denne værdi maskeret og uoprettelig.
    kopier hemmelig værdi

Trin 3: Aktivér adgang i Key Vault

Nu skal du aktivere adgang til din applikation i Azure Key Vault.

  1. Naviger til Key Vault, der indeholder det certifikat, du vil bruge til signering, og klik på Adgangspolitikker .
    Adgangspolitikker
  2. Klik Tilføj adgangspolitik.
    Tilføj adgangspolitik
  3. Under Nøgletilladelser, aktiver Sign.
    Aktiver tegn under nøgletilladelser
  4. Under Certifikat tilladelser, aktiver Get.
    Aktiver Få under certifikattilladelser
  5. Klik på knappen Ingen valgt link under Vælg hoved, brug derefter søgefeltet til at finde og vælge den applikation, du oprettede i det foregående afsnit.
    Vælg hoved
  6. Klik på knappen Type .
    Type
  7. Klik på knappen Tilføj .
    Tilføj
  8. Klik Gem.
    Gem
  9. Din adgangspolitik er indstillet, og du er klar til at begynde at signere filer.
    Politik for færdig adgang

Trin 4: Underskriv en fil

Nu er du endelig klar til at underskrive en kode!

  1. Du skal bruge følgende oplysninger til rådighed:
    • Din Key Vault URI (tilgængelig i Azure-portalen):
      Key Vault URI
    • venligt navn af dit certifikat i Key Vault:
      Certifikatnavn
    • Program (klient) ID værdi fra din Azure-applikation:
      Program (klient) ID
    • hemmelig shopper du genererede ovenfor:
      kopier hemmelig værdi
  2. Nedenfor er et eksempel på en kommando i PowerShell til at underskrive og tidsstemple en fil med Azure Sign Tool. Erstat værdierne i ALL CAPS med dine faktiske oplysninger:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFIKAT-NAVN -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
    Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.

    Hvis du støder på denne fejl: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.

    Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.
  3. Hvis signering er vellykket, skal du se output som følger (mislykket signering giver ingen output):
    info: AzureSignTool.Program [0] => Fil: test.exe Signeringsfil test.exe info: AzureSignTool.Program [0] => File: test.exe Undertegnelse blev gennemført med succes for fil test.exe. info PS C: \ Brugere \ Aaron Russell \ Desktop>
  4. Detaljer om den nye digitale signatur vil være tilgængelige i filegenskaberne:
    Detaljer om digital signatur
Bemærk: Forfatteren af ​​Azure Sign Tool har også leveret en går igennem til brug af værktøjet med Azure DevOps.

SSL.com s EV Kodesignering certifikater hjælper med at beskytte din kode mod uautoriseret manipulation og gå på kompromis med det højeste niveau af validering og er tilgængelige for så lidt som $ 249 pr. Du kan også brug dit EV Code Signing-certifikat i stor skala i skyen ved hjælp af eSigner. Med sin automatiserede mulighed er eSigner velegnet til virksomhedskodesignering.

BESTIL NU

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.