en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

So automatisieren Sie die EV-Code-Signierung mit Signtool.exe oder Certutil.exe mit eSigner CKA (Cloud Key Adapter)

eSigner CKA (Cloud Key Adapter) ist eine Windows-basierte Anwendung, die die CNG-Schnittstelle (KSP Key Service Provider) verwendet, um Tools wie certutil.exe und signtool.exe die Verwendung der eSigner CSC-API für Signiervorgänge zu ermöglichen. Es verhält sich wie ein virtuelles USB-Token und lädt die Codesignaturzertifikate in den Zertifikatsspeicher.

Diese Funktion trägt dazu bei, Ihr eSigner-Zertifikat flexibler zu machen, mit Optionen zur Automatisierung von Signierungen in CI/CD-Prozessen, die bei einem physischen USB-Token nicht vorhanden sind.

HINWEIS 

Dieses Lehrmaterial erfordert Folgendes: 

  1. Ausgestelltes EV Code Signing-Zertifikat. 
  2. EV Code Signing-Zertifikat muss derzeit bei eSigner registriert sein. Sollte dies nicht der Fall sein, verweisen Sie bitte darauf Leitartikel
  3. Eine installierte Authentifizierungs-App auf Ihrem Mobiltelefon wie die Google Authenticator-App.

 

Benutzer können Code mit der Extended Validation Code Signing-Funktion von eSigner signieren. Klicken Sie unten für weitere Informationen.

ERFAHREN SIE MEHR

Formulieren Sie die Befehlszeile

Komponenten der Befehlszeile

Sowohl für die manuelle als auch für die automatisierte Code-Signierung müssen Sie die Befehlszeile Ihres Texteditors eingeben, z Eingabeaufforderung. Die Befehlszeile enthält:

  1. Der Speicherort von SignTool (Befehlszeilentool, das für das digitale Signieren einer Datei verantwortlich ist und die Signatur überprüft), in Klammern eingeschlossen: „C:\Programme (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“
  2. Der /fd sha256 Option, die den Hash-Algorithmus angibt
  3. Der /tr http://ts.ssl.com Option, die die Zeitstempel-Serveradresse angibt
  4. /td sha256 Option, die den Zeitstempel-Digest-Algorithmus angibt
  5. Der /sha1 -Option, die den Fingerabdruck angibt, den SignTool verwendet, um das entsprechende Codesignaturzertifikat aus dem Schlüsselspeicher zu finden
  6. Der eigentliche Fingerabdruck des Zertifikats
  7. Der Pfad der zu signierenden Datei, eingeschlossen in Klammern: „SIGNABLE FILE PATH“

Insgesamt sollte die Befehlszeile wie folgt aussehen: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ Zeichen /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 Fingerabdruck des Zertifikats „SIGNABLE DATEIPFAD"

Lokalisieren Ihres Zertifikat-Fingerabdrucks

Später, nach der Installation von eSigner CKA und dem Hinzufügen Ihres EV Code Signing-Zertifikats zur Speicher für Benutzerzertifikate, können Sie den Fingerabdruck Ihres EV Code Signing-Zertifikats überprüfen, indem Sie auf drücken Windows-Taste + R und dann eintippen certmgr.msc um auf den Speicher für Benutzerzertifikate zuzugreifen. Wenn das Zertifikat-Manager-Fenster erscheint, klicken Sie auf die Persönliches Ordner auf der linken Seite und wählen Sie dann den Zertifikate Unterordner auf der rechten Seite, um Ihr EV Code Signing-Zertifikat zu finden.

Doppelklicken Sie auf das Zertifikat. Wählen Sie die Details aus und scrollen Sie dann nach unten, um den Daumenabdruck anzuzeigen. Kopieren Sie den Fingerabdruck und fügen Sie ihn beim Signieren von Code in Ihre Befehlszeile ein.

Manuelle Code-Signierung

Installieren Sie eSigner CKA

Wählen Sie bei der Auswahl des Installationsmodus Manuelle Code-Signierung und klicken Sie dann auf die Schaltfläche OK.

Melden Sie sich beim eSigner CKA-Programm an

Öffnen Sie nach der Installation von eSigner CKA das Programm und melden Sie sich mit dem Benutzernamen und Passwort Ihres SSL.com-Kontos an.

Nach erfolgreicher Anmeldung können Sie den Namen der Entität sehen, für die das EV-Codesignaturzertifikat ausgestellt wurde, die Seriennummer, das Ablaufdatum und die EVCS (Extended Validation Code Signing) Akronym.

Schreiben Sie die Befehlszeile in den Texteditor

Zur Erinnerung: Die Befehlszeile für Codesignierung sieht wie folgt aus: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ Zeichen /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 „PFAD DER SIGNIERBAREN DATEI“

Nachdem Sie die Befehlszeile in Ihrem Texteditor geschrieben und gedrückt haben Weiter, sehen Sie die Nachricht Zusätzliches Geschäft hinzugefügt. Daraufhin erscheint ein Fenster, in dem Sie aufgefordert werden, den Benutzernamen und das Passwort Ihres SSL.com-Kontos einzugeben.

Geben Sie das Einmalpasswort (OTP) ein 

Ein One Time Password (OTP) für Ihr eSigner-registriertes EV Code Signing-Zertifikat wird an Ihre Authenticator-App gesendet. Nach erfolgreicher Eingabe zeigt die Eingabeaufforderung an, dass Ihre Datei erfolgreich signiert wurde.

Überprüfen Sie die digitale Signatur der Datei

Nach erfolgreicher Codesignierung können Sie nun die Details der digitalen Signatur auf der Datei überprüfen. Klicken Sie mit der rechten Maustaste auf die signierte Datei, klicken Sie auf Immobilien, gefolgt von der Digitale Signaturen Tab. Hier sehen Sie den Namen des Unterzeichners, den verwendeten Digest-Algorithmus und den Zeitstempel der Signatur. Drücke den Alle anzeigen Schaltfläche, um weitere Informationen über den signierten Code zu erhalten.

Beim Klicken Alle anzeigen, können Sie die Informationen lesen Diese digitale Signatur ist in Ordnung. Fahren Sie mit dem Klicken fort Zertifikat anzeigen .

Nach einem Klick auf die Zertifikat anzeigen Schaltfläche lesen Sie Informationen, die darauf hinweisen, dass das für die signierte Datei ausgestellte digitale Zertifikat sicherstellt, dass sie vom Herausgeber stammt, und sie nach der Veröffentlichung vor Änderungen schützt.

Automatisierte Code-Signierung

Installieren Sie eSigner CKA

Wählen Sie bei der Auswahl des Installationsmodus Automatisierte Code-Signierung und klicken Sie dann auf die Schaltfläche OK.

Speichern Sie die Hauptschlüsseldatei

Es erscheint ein Hinweis, der erklärt, wie wichtig es ist, die Hauptschlüsseldatei zu sichern. Bitte lesen Sie es und klicken Sie dann auf die Schaltfläche OK.

Daraufhin öffnet sich ein Fenster, in dem Sie auswählen können, wo Sie die Hauptschlüsseldatei speichern möchten.

Geben Sie die Anmeldedaten Ihres SSL.com-Kontos ein

Geben Sie den Benutzernamen und das Passwort Ihres SSL.com-Kontos ein.

Geben Sie dann Ihr zeitbasiertes Einmalpasswort (TOTP) ein. Sie finden Ihr TOTP in den Bestelldetails des EV Code Signing-Zertifikats in Ihrem SSL.com-Konto. Geben Sie die 4-stellige PIN ein, die Sie zuvor festgelegt haben, als Sie Ihre Bestellung für eSigner registriert haben, und klicken Sie dann auf QR-Code anzeigen Taste, um das TOTP anzuzeigen.

Ihr TOTP wird auf einem Feld mit der Bezeichnung angezeigt Geheim Code. Kopieren Sie das TOTP, fügen Sie es auf der TOTP-Geheimnis Feld des eSigner CKA-Fensters und klicken Sie dann auf OK Schaltfläche, um es zu speichern. 

Nachdem Sie Ihre SSL.com-Kontoanmeldeinformationen und TOTP eingegeben haben, können Sie die Details Ihres EV Code Signing-Zertifikats anzeigen. Falls Sie sich entscheiden, Ihr TOTP zu aktualisieren, fügen Sie das neue TOTP in das zugewiesene Feld ein und klicken Sie dann Speichern.

Schreiben Sie die Befehlszeile in den Texteditor

Zur Erinnerung: Die Befehlszeile für Codesignierung sieht wie folgt aus: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ Zeichen /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 „PFAD DER SIGNIERBAREN DATEI“

Offen Eingabeaufforderung, fügen Sie die Befehlszeile für die zu signierende Datei ein. Nachdem Sie die Eingabetaste gedrückt haben, sehen Sie den Hinweistext Zusätzliches Geschäft hinzugefügt.

Nach einigen Sekunden sehen Sie den Hinweis Erfolgreich unterschrieben. Dies zeigt an, dass Ihre Datei automatisiert signiert wurde, ohne dass zusätzliche OTPs erforderlich sind. 

Überprüfen Sie das Vorhandensein der digitalen Signatur in Ihrer Datei

Öffnen Sie den Ordnerspeicherort Ihrer signierten Datei. Klicken Sie mit der rechten Maustaste darauf und klicken Sie dann Immobilien. Klicken Sie auf die Registerkarte Digitale Signaturen und hier sehen Sie, dass der verwendete sichere Hash-Algorithmus 256 Bit hat. Klicken Sie auf das unmittelbare Feld, das den Namen des Unterzeichners, den Digest-Algorithmus und den Zeitstempel anzeigt. Nachdem es hervorgehoben wurde, fahren Sie fort, auf das zu klicken Alle anzeigen .

Ein Pop-up-Fenster zeigt dann an, dass die digitale Signatur der Datei gültig ist, und gibt den genauen Zeitpunkt an, zu dem sie signiert wurde. Drücke den Zertifikat anzeigen klicken, um weitere Informationen über das ausgestellte digitale EV Code Signing-Zertifikat anzuzeigen. 

Sie sehen Informationen zum EV Code Signing-Zertifikat, die besagen, dass es Sie als Ersteller der ausführbaren Datei validiert und Ihre Datei vor Manipulationen schützt. 

So testen Sie eSigner CKA mit Ihrem Sandbox-Konto

Installieren Sie eSigner CKA

Wählen Sie aus, ob Sie es installieren möchten Manuell or Automatisiert Modus

**** Beachten Sie, dass Sie, wenn Sie einen Modus gewählt haben, das Programm neu installieren müssen, bevor Sie es im anderen Modus testen können. *****

Öffnen Sie das Roaming-Unterverzeichnis von Appdata

 Um eSigner CKA mit Ihrem SSL.com-Sandbox-Konto zu testen, müssen Sie die Einstellungen der Anwendung im Roaming-Unterverzeichnis des AppData-Ordners ändern. Eingeben %Anwendungsdaten% in der Windows-Suchleiste, um Sie direkt zum Roaming-Unterverzeichnis von AppData zu bringen.

eSigner öffnen Datendatei mit Ihrem Texteditor

Öffnen Sie die eSignerCKA Ordner, suchen Sie die Datei esignerapp.data, klicken Sie mit der rechten Maustaste darauf und wählen Sie in diesem Fall die Option zum Bearbeiten der Datei mit Ihrem Texteditor Notepad + +

Beim Öffnen des Texteditors sehen Sie die Wertesätze unten.

Sie können die Wertesätze in aufeinanderfolgende Zeilen aufteilen, damit sie einfacher bearbeitet werden können. 

Testsignierung im manuellen Modus

Für die Testsignierung im manuellen Modus sollten die folgenden Werte vorhanden sein:

  1. Die Client-ID sollte lauten: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Verwenden Sie -Versuchen auf der api_url
    Vorher: „api_url“: „https://cs.ssl.com/csc/v0/
    Nach: „api_url“:“https://cs-versuchen.ssl.com/csc/v0/"
  3. Ersetzen login mit oauth-sandbox auf der auth_url
    Vorher: „auth_url“: „https://login.ssl.com/oauth2/token“
    Nach: „auth_url“: „https://oauth-sandbox.ssl.com/oauth2/token“
  4. „cred_mode“: 0
  5. „master_key“: null

Testsignierung im automatisierten Modus

Für die Testsignierung im automatisierten Modus sollten die folgenden Werte vorhanden sein:

  1. Die Client-ID sollte lauten: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Verwenden Sie -Versuchen auf der api_url
    Vorher: „api_url“: „https://cs.ssl.com/csc/v0/
    Nach: „api_url“:“https://cs-versuchen.ssl.com/csc/v0/"
  3. Ersetzen login mit oauth-sandbox auf der auth_url
    Vorher: „auth_url“: „https://login.ssl.com/oauth2/token“
    Nach: „auth_url“: „https://oauth-sandbox.ssl.com/oauth2/token“
  4. „cred_mode“: 1
  5. Ersetzen null auf master_key mit dem genauen Dateipfad Ihrer Hauptschlüssel Datei.
    Wenn Sie eSigner CKA zu Testzwecken im automatisierten Modus installieren, müssen Sie die Anmeldeinformationen für Ihr Sandbox-Konto angeben. Der Grund liegt darin, dass beim automatisierten Code Signing Anmeldedaten mit dem Master Key verschlüsselt werden. Wenn Sie bei der Installation Anmeldeinformationen für die Produktionsumgebung eingeben und später die Werte in der Datei esignerapp.data nach einem automatisierten Testformat ändern, können Sie keine Tests durchführen, da der von Ihnen angegebene Benutzername und das Kennwort nicht in der Sandbox-Testumgebung vorhanden sind.

Melden Sie sich bei eSigner CKA mit den Anmeldedaten Ihres SSL.com-Sandbox-Kontos an

Nach dem Ändern der Werte auf esignerapp.data, Sie können jetzt Ihr EV-Codesignaturzertifikat von Ihrer Sandbox aus testen, indem Sie die gleichen Schritte ausführen, die zuvor für ein Live-Zertifikat beschrieben wurden.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com