So automatisieren Sie die EV-Code-Signierung mit SignTool.exe oder Certutil.exe unter Verwendung von eSigner CKA (Cloud Key Adapter)

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

Artikellink kopieren

eSigner CKA (Cloud Key Adapter) ist eine Windows-basierte Anwendung, die die CNG-Schnittstelle (KSP Key Service Provider) verwendet, um Tools wie certutil.exe und signtool.exe die Verwendung der eSigner CSC-API für Signaturvorgänge zu ermöglichen. Es fungiert als virtuelles USB-Token und lädt die Codesignaturzertifikate in den Zertifikatspeicher. Diese Funktion trägt dazu bei, Ihr eSigner-Zertifikat flexibler zu gestalten, mit Optionen zur Automatisierung von Signaturen in CI/CD-Prozessen, die bei einem physischen USB-Token nicht möglich sind.

In dieser Anleitung wird gezeigt, wie Sie mit einem Produktions- oder Testzertifikat eine manuelle und automatische Codesignatur auf Windows SignTool durchführen. 

Hinweis: eSigner CKA bietet flexible Optionen zur Automatisierung von Signaturen in CI/CD-Prozessen, die mit einem physischen USB-Token nicht möglich sind. Anleitungen zur Verwendung von eSigner CKA für die automatisierte Code-Signierung in CI/CD-Tools wie CircleCI, GitHub Actions, Gitlab CI und Travis CI finden Sie auf dieser Seite: So integrieren Sie eSigner CKA mit CI/CD-Tools für automatisiertes Code Signing.

Voraussetzungen:

  1. Ein von SSLcom ausgestelltes Code Signing-Zertifikat. 
  2. Das Code Signing-Zertifikat muss aktuell bei eSigner registriert sein. Lesen Sie diese Anleitung: Melden Sie sich bei eSigner für die Remote-Dokument- und Code-Signierung an
  3. Installieren Sie eSigner CKA auf Ihrem Computer und konfigurieren Sie den Signaturmodus (manuell oder automatisch) und die Signaturart (Produktion oder Test). Installationsanweisungen finden Sie in diesem Artikel: So installieren Sie den SSL.com eSigner Cloud Key Adapter (CKA).

Benutzer können Code mit der Extended Validation Code Signing-Funktion von eSigner signieren. Klicken Sie unten für weitere Informationen.

ERFAHREN SIE MEHR

Optionales Verfahren: Verwenden Sie den Pre-Signing Malware Scan

Malware Scan ist ein wichtiger Dienst von SSL.com, der sicherstellt, dass Software frei von Malware ist, bevor sie mit einem Code-Signatur-Zertifikat signiert wird. Durch die Integration von Malware Scan fügen Entwickler eine robuste Sicherheitsebene hinzu, die den Signaturprozess automatisch anhält, wenn Malware erkannt wird, und den Entwickler auffordert, die erforderlichen Maßnahmen zu ergreifen.

Anleitung:

  1. Melden Sie sich bei Ihrem SSL.com-Konto an. Klicken Sie auf die Registerkarte „Bestellungen“ und dann auf „ herunterladen Klicken Sie auf den Link Ihres Zertifikats, um dessen Details anzuzeigen. Scrollen Sie nach unten zum UNTERZEICHNUNGSZULASSUNGEN Abschnitt und suchen Sie den Teil mit den Anmeldeinformationen Ihres eSigner-Zertifikats. Stellen Sie sicher, dass die Optionsfelder mit der Aufschrift „ Signierberechtigung aktiviert und Malware-Blocker aktiviert sind auserwählt.
  2. Installieren Sie den eSigner Cloud Key Adapter.
  3. Installieren Sie das eSigner CodeSignTool. Klicken HIER um das eSigner CodeSignTool herunterzuladen.
  4. Scannen Sie den Code auf CodeSignTool mit dem folgenden Befehl: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Verwenden Sie SignTool, um den Code mit eSigner CKA mit dem folgenden Befehl zu signieren: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parameter:

  • -input_file_path=<PATH>: Pfad des zu signierenden Codeobjekts.
  • -username=<USERNAME>SSL.com Benutzername
  • -password=<PASSWORD>SSL.com Konto Passwort.
  • -program_name=<PROGRAM_NAME>: Name des Programms
  • -credential_id=<CREDENTIAL_ID>: Anmeldeinformations-ID zum Signieren des Zertifikats. Ihre eSigner-Anmeldeinformations-ID befindet sich in Ihrem SSL.com Zertifikatsbestellseite.

Formulieren Sie den Befehl zum Signieren von Code

Komponenten des Comand

Sowohl für die manuelle als auch für die automatische Codesignierung kann der Befehl enthält:

  1. Der Speicherort von SignTool (Befehlszeilentool, das für die digitale Signatur einer Datei zuständig ist und die Signatur überprüft), eingeschlossen in doppelte Anführungszeichen. Beispiel: „C:\Programme (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“
    Hinweis: Der Speicherort von SignTool hängt von der heruntergeladenen SDK-Version und der verwendeten Architektur ab.
  2. Das /fd sha256 Option, die den Hash-Algorithmus angibt
  3. Das /tr http://ts.ssl.com Option, die die Zeitstempel-Serveradresse angibt
  4. /td sha256 Option, die den Zeitstempel-Digest-Algorithmus angibt
  5. Das /sha1 -Option, die den Fingerabdruck angibt, den SignTool verwendet, um das entsprechende Codesignaturzertifikat aus dem Schlüsselspeicher zu finden
  6. Die tatsächliche Fingerabdruck des Zertifikats
  7. Der Pfad der zu signierenden Datei, eingeschlossen in doppelte Anführungszeichen: „SIGNABLE FILE PATH“

Insgesamt sollte der Befehl wie folgt aussehen: 

„C:\Programme (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ signieren /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 Zertifikatfingerabdruck „ SIGNIERBARER DATEIPFAD“

Hinweis: Standardmäßig unterstützt SSL.com Zeitstempel von ECDSA-Schlüsseln.

Wenn Sie auf diesen Fehler stoßen: The timestamp certificate does not meet a minimum public key length requirement, sollten Sie sich an Ihren Softwareanbieter wenden, um Zeitstempel von ECDSA-Schlüsseln zuzulassen.

Wenn Ihr Softwareanbieter die Verwendung des normalen Endpunkts nicht zulassen kann, können Sie diesen Legacy-Endpunkt verwenden http://ts.ssl.com/legacy um einen Zeitstempel von einer RSA-Zeitstempeleinheit zu erhalten.

Lokalisieren Ihres Zertifikat-Fingerabdrucks

Später, nach der Installation von eSigner CKA und dem Hinzufügen Ihres EV Code Signing-Zertifikats zur Speicher für Benutzerzertifikate, können Sie den Fingerabdruck Ihres EV Code Signing-Zertifikats überprüfen, indem Sie auf drücken Windows-Taste + R und dann eintippen certmgr.msc um auf den Speicher für Benutzerzertifikate zuzugreifen. Wenn das Zertifikat-Manager-Fenster erscheint, klicken Sie auf die Unsere Ordner auf der linken Seite und wählen Sie dann den Zertifikate Unterordner auf der rechten Seite, um Ihr EV Code Signing-Zertifikat zu finden.

Doppelklicken Sie auf das Zertifikat. Wählen Sie die Details aus und scrollen Sie dann nach unten, um den Fingerabdruck anzuzeigen. Kopieren Sie den Fingerabdruck und fügen Sie ihn in Ihren Befehl ein, wenn Sie Code signieren.

nach oben

Manuelle Code-Signierung

Installieren Sie eSigner CKA

Laden Sie SSL.COM eSigner CKA herunter

Zugriff auf SignTool über die Befehlszeile

Zur Erinnerung: Der Befehl zum Signieren des Codes sieht folgendermaßen aus: 

„C:\Programme (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ signieren /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 Zertifikatfingerabdruck „ SIGNIERBARER DATEIPFAD“

Nach dem Schreiben des Befehls und Drücken Enter, sehen Sie die Nachricht Zusätzliches Geschäft hinzugefügt. Daraufhin erscheint ein Fenster, in dem Sie aufgefordert werden, den Benutzernamen und das Passwort Ihres SSL.com-Kontos einzugeben.

Geben Sie das Einmalpasswort (OTP) ein 

Ein One Time Password (OTP) für Ihr eSigner-registriertes EV Code Signing-Zertifikat wird an Ihre Authenticator-App gesendet. Nach erfolgreicher Eingabe zeigt die Eingabeaufforderung an, dass Ihre Datei erfolgreich signiert wurde.

Erfolg! Ihr Code ist jetzt signiert. 

Überprüfen Sie die digitale Signatur der Datei

Nach erfolgreicher Codesignierung können Sie nun die Details der digitalen Signatur auf der Datei überprüfen. Klicken Sie mit der rechten Maustaste auf die signierte Datei, klicken Sie auf Ferienhäuser, gefolgt von der Digitale Signaturen Tab. Hier sehen Sie den Namen des Unterzeichners, den verwendeten Digest-Algorithmus und den Zeitstempel der Signatur. Drücke den Details Schaltfläche, um weitere Informationen über den signierten Code zu erhalten.

Sie können die Informationen lesen, die Diese digitale Signatur ist in Ordnung. Fahren Sie mit dem Klicken fort Zertifikat anzeigen .

Nach einem Klick auf die Zertifikat anzeigen Schaltfläche lesen Sie Informationen, die darauf hinweisen, dass das für die signierte Datei ausgestellte digitale Zertifikat sicherstellt, dass sie vom Herausgeber stammt, und sie nach der Veröffentlichung vor Änderungen schützt.

nach oben

Automatisierte Code-Signierung

Zugriff auf SignTool über den Befehl

Zur Erinnerung: Der Befehl zum Signieren des Codes sieht folgendermaßen aus: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe“ Zeichen /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 Fingerabdruck des Zertifikats „SIGNABLE DATEIPFAD"

Öffnen Eingabeaufforderung und Platzieren Sie den Befehl. Nach dem Drücken der Eingabetaste wird der Hinweis angezeigt, Zusätzliches Geschäft hinzugefügt.

Nach einigen Sekunden sehen Sie den Hinweis Erfolgreich unterschrieben. Dies zeigt an, dass Ihre Datei automatisiert signiert wurde, ohne dass zusätzliche OTPs erforderlich sind. 

Überprüfen Sie das Vorhandensein der digitalen Signatur in Ihrer Datei

Öffnen Sie den Ordnerspeicherort Ihrer signierten Datei. Klicken Sie mit der rechten Maustaste darauf und klicken Sie dann Ferienhäuser. Klicken Sie auf die Registerkarte Digitale Signaturen und hier sehen Sie, dass der verwendete sichere Hash-Algorithmus 256 Bit hat. Klicken Sie auf das unmittelbare Feld, das den Namen des Unterzeichners, den Digest-Algorithmus und den Zeitstempel anzeigt. Nachdem es hervorgehoben wurde, fahren Sie fort, auf das zu klicken Details .

Ein Pop-up-Fenster zeigt dann an, dass die digitale Signatur der Datei gültig ist, und gibt den genauen Zeitpunkt an, zu dem sie signiert wurde. Drücke den Zertifikat anzeigen klicken, um weitere Informationen über das ausgestellte digitale EV Code Signing-Zertifikat anzuzeigen. 

Sie sehen Informationen zum EV Code Signing-Zertifikat, die besagen, dass es Sie als Ersteller der ausführbaren Datei validiert und Ihre Datei vor Manipulationen schützt. 

nach oben

Verwandte Anleitungen zur Code-Signierung mit eSigner CKA

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil