Πώς να αυτοματοποιήσετε την υπογραφή κωδικού EV με το SignTool.exe ή το Certutil.exe χρησιμοποιώντας το eSigner CKA (προσαρμογέας κλειδιού Cloud)

eSigner CKA (προσαρμογέας κλειδιού Cloud) είναι μια εφαρμογή που βασίζεται στα Windows που χρησιμοποιεί τη διεπαφή CNG (KSP Key Service Provider) για να επιτρέπει σε εργαλεία όπως το certutil.exe και το signtool.exe να χρησιμοποιούν το eSigner CSC API για λειτουργίες υπογραφής. Λειτουργεί σαν εικονικό διακριτικό USB και φορτώνει τα πιστοποιητικά υπογραφής κώδικα στο χώρο αποθήκευσης πιστοποιητικών. Αυτή η δυνατότητα βοηθά να κάνετε το πιστοποιητικό σας eSigner πιο ευέλικτο με επιλογές για αυτοματοποίηση υπογραφών σε διαδικασίες CI/CD που δεν υπάρχουν με φυσικό διακριτικό USB.

Αυτός ο οδηγός δείχνει πώς να εκτελείτε χειροκίνητη και αυτοματοποιημένη υπογραφή κώδικα στο Windows SignTool χρησιμοποιώντας ένα πιστοποιητικό παραγωγής ή ένα πιστοποιητικό δοκιμής. 

Σημείωση: Το eSigner CKA επιτρέπει ευέλικτες επιλογές για την αυτοματοποίηση των υπογραφών σε διαδικασίες CI/CD που δεν υπάρχουν με φυσικό διακριτικό USB. Για καθοδήγηση σχετικά με τον τρόπο χρήσης του eSigner CKA για αυτοματοποιημένη υπογραφή κώδικα σε εργαλεία CI/CD, συμπεριλαμβανομένων των CircleCI, GitHub Actions, Gitlab CI και Travis CI, επισκεφθείτε αυτήν τη σελίδα: Πώς να ενσωματώσετε το eSigner CKA με Εργαλεία CI/CD για αυτοματοποιημένη υπογραφή κώδικα.

απαιτήσεις

  1. Πιστοποιητικό υπογραφής κώδικα που εκδίδεται από την SSLcom. 
  2. Το πιστοποιητικό υπογραφής κώδικα πρέπει να είναι εγγεγραμμένο επί του παρόντος στο eSigner. Ανατρέξτε σε αυτόν τον οδηγό: Εγγραφείτε στο eSigner για απομακρυσμένη υπογραφή εγγράφων και κώδικα
  3. Εγκαταστήστε το eSigner CKA στον υπολογιστή σας και διαμορφώστε τον τρόπο υπογραφής (μη αυτόματη ή αυτοματοποιημένη ) και τον τύπο υπογραφής (παραγωγή ή δοκιμή). Ανατρέξτε σε αυτό το άρθρο για οδηγίες εγκατάστασης: Πώς να εγκαταστήσετε το SSL.com eSigner Cloud Key Adapter (CKA).

Οι χρήστες μπορούν να υπογράψουν κώδικα με τη δυνατότητα Extended Validation Code Signing του eSigner. Κάντε κλικ παρακάτω για περισσότερες πληροφορίες.

ΜΑΘΕΤΕ ΠΕΡΙΣΣΟΤΕΡΑ

Προαιρετική διαδικασία: Χρησιμοποιήστε τη σάρωση κακόβουλου λογισμικού προ-υπογραφής

Το Malware Scan είναι μια κρίσιμη υπηρεσία από το SSL.com που διασφαλίζει ότι το λογισμικό δεν περιέχει κακόβουλο λογισμικό πριν υπογραφεί με πιστοποιητικό υπογραφής κώδικα. Με την ενσωμάτωση του Malware Scan, οι προγραμματιστές προσθέτουν ένα ισχυρό επίπεδο ασφάλειας, διακόπτοντας αυτόματα τη διαδικασία υπογραφής εάν εντοπιστεί κακόβουλο λογισμικό και ειδοποιώντας τον προγραμματιστή να λάβει τις απαραίτητες ενέργειες.

Οδηγίες:

  1. Συνδεθείτε στον λογαριασμό σας SSL.com. Κάντε κλικ στην καρτέλα παραγγελίες ακολουθούμενη από το κατεβάσετε σύνδεσμο του πιστοποιητικού σας για να εμφανίσετε τα στοιχεία του. Κάντε κύλιση προς τα κάτω στο ΥΠΟΓΡΑΦΗ ΔΙΑπιστευτηρίων και εντοπίστε το τμήμα που δείχνει τα διαπιστευτήρια του πιστοποιητικού eSigner. Βεβαιωθείτε ότι τα κουμπιά επιλογής που λένε το διαπιστευτήριο υπογραφής ενεργοποιήθηκε και  Ο αποκλεισμός κακόβουλου λογισμικού ενεργοποιήθηκε επιλέγονται.
  2. Εγκαταστήστε τον προσαρμογέα κλειδιού eSigner Cloud.
  3. Εγκαταστήστε το eSigner CodeSignTool. Κάντε κλικ εδώ για λήψη του eSigner CodeSignTool.
  4. Σαρώστε τον κώδικα στο CodeSignTool χρησιμοποιώντας την ακόλουθη εντολή: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Χρησιμοποιήστε το SignTool για να υπογράψετε τον κώδικα με το eSigner CKA χρησιμοποιώντας την ακόλουθη εντολή: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

παράμετροι:

  • -input_file_path=<PATH>: Διαδρομή αντικειμένου κώδικα προς υπογραφή.
  • -username=<USERNAME>SSL.com όνομα χρήστη λογαριασμού
  • -password=<PASSWORD>SSL.com κωδικός πρόσβασης λογαριασμού.
  • -program_name=<PROGRAM_NAME>: Όνομα προγράμματος
  • -credential_id=<CREDENTIAL_ID>: Διαπιστευτήριο για την υπογραφή πιστοποιητικού. Το αναγνωριστικό διαπιστευτηρίων eSigner βρίσκεται στο δικό σας SSL.com σελίδα παραγγελίας πιστοποιητικού.

Διατυπώστε την εντολή για τον κώδικα υπογραφής

Συστατικά στοιχεία της Διοίκησης

Τόσο για χειροκίνητη όσο και για αυτοματοποιημένη υπογραφή κώδικα, η εντολή περιέχει:

  1. Η θέση του SignTool (εργαλείο γραμμής εντολών που είναι υπεύθυνο για την ψηφιακή υπογραφή ενός αρχείου και επαληθεύει την υπογραφή), περικλείεται σε διπλά εισαγωγικά. Παράδειγμα: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
    Σημείωση: Η τοποθεσία του SignTool θα εξαρτηθεί από την έκδοση του SDK που έχει ληφθεί και την αρχιτεκτονική που χρησιμοποιείται.
  2. Τα Διαχωριστικά /fd sha256 επιλογή που καθορίζει τον αλγόριθμο κατακερματισμού
  3. Τα Διαχωριστικά /tr http://ts.ssl.com επιλογή που καθορίζει τη διεύθυνση διακομιστή χρονικής σφραγίδας
  4. /td sha256 επιλογή που καθορίζει τον αλγόριθμο σύνοψης χρονικής σήμανσης
  5. Τα Διαχωριστικά /sha1 επιλογή που καθορίζει το αποτύπωμα που χρησιμοποιεί το SignTool για να βρει το κατάλληλο πιστοποιητικό υπογραφής κώδικα από το χώρο αποθήκευσης κλειδιών
  6. Το πραγματικό αποτύπωμα πιστοποιητικού
  7. Η διαδρομή του αρχείου που θα υπογραφεί, περικλείεται σε διπλά εισαγωγικά: “SIGNABLE FILE PATH”

Γενικά η εντολή θα πρέπει να μοιάζει με την ακόλουθη: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" σύμβολο /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 thumbprint πιστοποιητικού " ΔΙΑΔΡΟΜΗ ΣΗΜΑΤΟΣ ΑΡΧΕΙΟΥ»

Σημείωση: Από προεπιλογή, το SSL.com υποστηρίζει χρονικές σημάνσεις από κλειδιά ECDSA.

Εάν αντιμετωπίσετε αυτό το σφάλμα: The timestamp certificate does not meet a minimum public key length requirement, θα πρέπει να επικοινωνήσετε με τον προμηθευτή του λογισμικού σας για να επιτρέψετε χρονικές σημάνσεις από κλειδιά ECDSA.

Εάν δεν υπάρχει τρόπος για τον προμηθευτή του λογισμικού σας να επιτρέψει τη χρήση του κανονικού τερματικού σημείου, μπορείτε να χρησιμοποιήσετε αυτό το παλαιού τύπου τελικό σημείο http://ts.ssl.com/legacy για να λάβετε μια χρονική σήμανση από μια μονάδα χρονοσήμανσης RSA.

Εντοπισμός του αποτυπώματος του πιστοποιητικού σας

Αργότερα, με την εγκατάσταση του eSigner CKA και την προσθήκη του πιστοποιητικού υπογραφής κωδικού EV στο Κατάστημα πιστοποιητικών χρήστη, θα μπορείτε να ελέγξετε το αποτύπωμα του πιστοποιητικού υπογραφής κωδικού EV πατώντας Πλήκτρο Windows + R και μετά πληκτρολογήστε certmgr.msc για πρόσβαση στο χώρο αποθήκευσης πιστοποιητικών χρήστη. Όταν εμφανιστεί το παράθυρο διαχείρισης πιστοποιητικών, κάντε κλικ στο ΠΡΟΣΩΠΙΚΟ φάκελο στον αριστερό πίνακα και, στη συνέχεια, επιλέξτε το Πιστοποιητικά υποφάκελο στα δεξιά για να εντοπίσετε το πιστοποιητικό υπογραφής κωδικού EV.

Κάντε διπλό κλικ στο πιστοποιητικό. Επιλέξτε Λεπτομέρειες καρτέλα και, στη συνέχεια, κάντε κύλιση προς τα κάτω για να αποκαλύψετε το Αποτύπωμα. Αντιγράψτε το Thumbprint και συμπεριλάβετέ το στην εντολή σας όταν υπογράφετε κώδικα.

Χειροκίνητη υπογραφή κώδικα

Εγκαταστήστε το eSigner CKA

Πρόσβαση στο SignTool μέσω της γραμμής εντολών

Για να θυμηθούμε, η εντολή για την υπογραφή κώδικα μοιάζει με την εξής: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" σύμβολο /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 thumbprint πιστοποιητικού " ΔΙΑΔΡΟΜΗ ΣΗΜΑΤΟΣ ΑΡΧΕΙΟΥ»

Μόλις γράψετε την εντολή και πατήσετε εισάγετε, θα δείτε το μήνυμα Ολοκληρώθηκε η προσθήκη επιπλέον καταστήματος. Στη συνέχεια θα εμφανιστεί ένα παράθυρο που σας ζητά να τοποθετήσετε το όνομα χρήστη και τον κωδικό πρόσβασης του λογαριασμού SSL.com.

Εισαγάγετε τον κωδικό πρόσβασης μίας χρήσης (OTP) 

Ένας κωδικός πρόσβασης μίας χρήσης (OTP) για το πιστοποιητικό υπογραφής κωδικού EV που είναι εγγεγραμμένο στο eSigner θα σταλεί στην εφαρμογή Authenticator. Μετά την επιτυχή εισαγωγή, η γραμμή εντολών θα υποδείξει ότι το αρχείο σας έχει υπογραφεί με επιτυχία.

Επιτυχία! Ο κωδικός σας είναι τώρα υπογεγραμμένος. 

Ελέγξτε την ψηφιακή υπογραφή στο αρχείο

Μετά την επιτυχή υπογραφή κωδικού, μπορείτε τώρα να ελέγξετε τις λεπτομέρειες της ψηφιακής υπογραφής στο αρχείο. Κάντε δεξί κλικ στο υπογεγραμμένο αρχείο, κάντε κλικ Ιδιοκτησίες, ακολουθούμενη από το Ψηφιακές υπογραφές Αυτί. Εδώ θα δείτε το όνομα του Υπογράφου, τον αλγόριθμο σύνοψης που χρησιμοποιείται και τη χρονική σήμανση της υπογραφής. Κάντε κλικ στο Περιγραφή κουμπί για να λάβετε περισσότερες πληροφορίες σχετικά με τον υπογεγραμμένο κωδικό.

Θα μπορείτε να διαβάσετε τις πληροφορίες που δηλώνουν Αυτή η ψηφιακή υπογραφή είναι εντάξει. Προχωρήστε για να κάνετε κλικ στο Δές το πιστοποιητικό κουμπί.

Αφού κάνετε κλικ στο Δές το πιστοποιητικό κουμπί, θα διαβάσετε πληροφορίες που υποδεικνύουν ότι το Ψηφιακό Πιστοποιητικό που εκδόθηκε για το υπογεγραμμένο αρχείο διασφαλίζει ότι προέρχεται από τον εκδότη και το προστατεύει από αλλαγές μετά τη δημοσίευση.

Αυτοματοποιημένη υπογραφή κώδικα

Πρόσβαση στο SignTool μέσω της εντολής

Για να θυμηθούμε, η εντολή για την υπογραφή κώδικα μοιάζει με την εξής: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" σύμβολο /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 αποτύπωμα πιστοποιητικού "SIGNABLE ΔΙΑΔΡΟΜΗ ΑΡΧΕΙΟΥ"

Ανοικτό Γραμμή εντολών και τοποθετήστε την εντολή. Αφού πατήσετε enter, θα δείτε την ειδοποίηση να λέει Ολοκληρώθηκε η προσθήκη επιπλέον καταστήματος.

Μετά από λίγα δευτερόλεπτα, θα δείτε την ειδοποίηση Υπογράφηκε με επιτυχία. Αυτό υποδηλώνει ότι το αρχείο σας έχει υπογραφεί με αυτοματοποιημένο τρόπο, χωρίς την πρόσθετη ανάγκη για OTP. 

Ελέγξτε την παρουσία της ψηφιακής υπογραφής στο αρχείο σας

Ανοίξτε τη θέση φακέλου του υπογεγραμμένου αρχείου σας. Κάντε δεξί κλικ σε αυτό και μετά κάντε κλικ Ιδιοκτησίες. Κάντε κλικ στην καρτέλα Ψηφιακές υπογραφές και εδώ θα δείτε ότι ο αλγόριθμος ασφαλούς κατακερματισμού που χρησιμοποιείται έχει 256 bit. Κάντε κλικ στο άμεσο διάστημα που δείχνει το όνομα του υπογράφοντος, τον αλγόριθμο σύνοψης και τη χρονική σήμανση. Αφού επισημανθεί, κάντε κλικ στο Περιγραφή κουμπί.

Στη συνέχεια, θα εμφανιστεί ένα αναδυόμενο παράθυρο που θα δηλώνει ότι η ψηφιακή υπογραφή στο αρχείο είναι έγκυρη καθώς και θα υποδεικνύει τη συγκεκριμένη ώρα που υπογράφηκε. Κάντε κλικ στο Δές το πιστοποιητικό κουμπί για να δείτε περισσότερες πληροφορίες σχετικά με το ψηφιακό πιστοποιητικό υπογραφής κωδικού EV που εκδόθηκε. 

Θα δείτε πληροφορίες σχετικά με το πιστοποιητικό υπογραφής κωδικού EV που δηλώνει ότι σας επικυρώνει ως δημιουργό του εκτελέσιμου αρχείου και προστατεύει το αρχείο σας από παραποίηση. 

Σχετικοί οδηγοί υπογραφής κώδικα με χρήση του eSigner CKA

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.