Υπογραφή κώδικα με Azure Key Vault

Οδηγίες για την υπογραφή κώδικα από τη γραμμή εντολών των Windows με πιστοποιητικό και ιδιωτικό κλειδί αποθηκευμένο στο Azure Key Vault.

Αυτός ο οδηγός ισχύει μόνο για πιστοποιητικά υπογραφής κωδικών IV και OV που εκδόθηκαν πριν από την 1η Ιουνίου 2023. Έναρξη 1 Ιουνίου 2023, Τα Πιστοποιητικά Υπογραφής Κώδικα Επικύρωσης Οργανισμού (OV) και Ατομικής Επικύρωσης (IV) του SSL.com έχουν εκδοθεί είτε σε κουπόνια USB του Ομοσπονδιακού Προτύπου Επεξεργασίας Πληροφοριών 140-2 (FIPS 140-2) είτε μέσω της υπηρεσίας υπογραφής κωδικού cloud eSigner. Αυτή η αλλαγή είναι σύμφωνη με τις νέες απαιτήσεις αποθήκευσης κλειδιών του Φόρουμ της Αρχής έκδοσης πιστοποιητικών/του προγράμματος περιήγησης (CA/B) για την αύξηση της ασφάλειας για τα κλειδιά υπογραφής κώδικα.

Αυτό το σεμινάριο θα σας δείξει πώς να υπογράψετε αρχεία από τη γραμμή εντολών των Windows με ένα πιστοποιητικό υπογραφής κώδικα και ένα ιδιωτικό κλειδί αποθηκευμένο στο Azure Key Vault. Για να ακολουθήσετε αυτές τις οδηγίες θα χρειαστείτε:

Τι είναι το εργαλείο Azure Sign;

Εργαλείο Azure Sign είναι ένα βοηθητικό πρόγραμμα ανοιχτού κώδικα που προσφέρει SignTool λειτουργικότητα για πιστοποιητικά και κλειδιά που είναι αποθηκευμένα στο Azure Key Vault. Μπορείτε να εγκαταστήσετε το Azure Sign Tool με την ακόλουθη εντολή στο Windows PowerShell (απαιτείται .NET SDK):

dotnet tool install --global AzureSignTool

[/ su_note]

Βήμα 1: Καταχωρήστε μια νέα εφαρμογή Azure

Αρχικά, θα πρέπει να εγγραφείτε μια νέα εφαρμογή Azure, ώστε να μπορείτε να συνδεθείτε στο Key Vault για υπογραφή.

  1. Συνδεθείτε στο Azure πύλη.
    Συνδεθείτε στο Azure
  2. Πλοηγηθείτε στο Azure Active Directory. (Κάντε κλικ Περισσότερες υπηρεσίες αν το εικονίδιο του Azure Active Directory δεν είναι ορατό.)
    Azure Active Directory
  3. Πατήστε Εγγραφές εφαρμογών, στην αριστερή στήλη.
    Εγγραφές εφαρμογών
  4. Πατήστε Νέα καταχώρηση.
    Νέα καταχώρηση
  5. Δώστε την αίτησή σας α Όνομα Και κάντε κλικ στο Εγγραφη κουμπί. Αφήστε τις άλλες ρυθμίσεις στις προεπιλεγμένες τιμές τους.
    Εγγραφή αίτησης
  6. Η νέα σας αίτηση έχει καταχωριστεί. Αντιγράψτε και αποθηκεύστε την τιμή που εμφανίζεται για Αναγνωριστικό εφαρμογής (πελάτη), γιατί θα το χρειαστείτε αργότερα.
    Αναγνωριστικό εφαρμογής (πελάτη)
  7. Πατήστε Πιστοποίηση.
    Πιστοποίηση
  8. Κάτω από Ρυθμίσεις για προχωρημένους, ρυθμίστε Να επιτρέπονται οι δημόσιες ροές πελατών προς την Yes.
    Να επιτρέπονται οι δημόσιες ροές πελατών
  9. Πατήστε Αποθήκευση.
    Αποθήκευση

Βήμα 2: Δημιουργήστε ένα μυστικό πελάτη

Στη συνέχεια, δημιουργήστε ένα μυστικό πελάτη, το οποίο θα χρησιμεύσει ως διαπιστευτήριο κατά την υπογραφή.

  1. Πατήστε Πιστοποιητικά και μυστικά στο αριστερό μενού.
    Πιστοποιητικά και μυστικά
  2. Πατήστε Νέο μυστικό πελάτη.
    Νέο μυστικό πελάτη
  3. Δώστε στον πελάτη σας μυστικό α Περιγραφή, ορίστε τη λήξη όπως θέλετε και κάντε κλικ στο Πρόσθεση κουμπί.
    Προσθήκη μυστικού πελάτη
  4. αντιγράψτε το αξία του νέου μυστικού πελάτη σας αμέσως και αποθηκεύστε το σε ασφαλές μέρος. Την επόμενη φορά που θα ανανεωθεί η σελίδα, αυτή η τιμή θα καλυφθεί και δεν μπορεί να ανακτηθεί.
    αντιγραφή μυστική τιμή

Βήμα 3: Ενεργοποίηση πρόσβασης στο Key Vault

Τώρα, θα πρέπει να ενεργοποιήσετε την πρόσβαση για την εφαρμογή σας στο Azure Key Vault.

  1. Μεταβείτε στο Key Vault που περιέχει το πιστοποιητικό που θέλετε να χρησιμοποιήσετε για υπογραφή και κάντε κλικ στο Πολιτικές πρόσβασης σύνδεσμο.
    Πολιτικές πρόσβασης
  2. Πατήστε Προσθήκη πολιτικής πρόσβασης.
    Προσθήκη πολιτικής πρόσβασης
  3. Κάτω από Βασικά δικαιώματα, επιτρέπω Sign.
    Ενεργοποίηση σύνδεσης κάτω από τα βασικά δικαιώματα
  4. Κάτω από Άδειες πιστοποιητικών, επιτρέπω Get.
    Ενεργοποίηση λήψης βάσει δικαιωμάτων πιστοποιητικού
  5. Κάντε κλικ στο Κανένα επιλεγμένο σύνδεσμος, κάτω Επιλέξτε κύριοκαι, στη συνέχεια, χρησιμοποιήστε το πεδίο αναζήτησης για να εντοπίσετε και να επιλέξετε την εφαρμογή που δημιουργήσατε στην προηγούμενη ενότητα.
    Επιλέξτε κύριο
  6. Κάντε κλικ στο Αγορά κουμπί.
    Αγορά
  7. Κάντε κλικ στο Πρόσθεση κουμπί.
    Πρόσθεση
  8. Πατήστε Αποθήκευση.
    Αποθήκευση
  9. Η πολιτική πρόσβασής σας έχει οριστεί και είστε έτοιμοι να ξεκινήσετε την υπογραφή αρχείων.
    Ολοκληρωμένη πολιτική πρόσβασης

Βήμα 4: Υπογράψτε ένα αρχείο

Τώρα είστε τελικά έτοιμοι να υπογράψετε κάποιο κωδικό!

  1. Θα χρειαστείτε τις ακόλουθες διαθέσιμες πληροφορίες:
    • Σας URI κλειδιού Vault (διατίθεται στην πύλη Azure):
      URI κλειδιού Vault
    • Η φιλικό όνομα του πιστοποιητικού σας στο Key Vault:
      Όνομα πιστοποιητικού
    • Η Αναγνωριστικό εφαρμογής (πελάτη) τιμή από την εφαρμογή Azure:
      Αναγνωριστικό εφαρμογής (πελάτη)
    • Η μυστικό πελάτη δημιουργήσατε παραπάνω:
      αντιγραφή μυστική τιμή
  2. Ακολουθεί μια παραδειγματική εντολή στο PowerShell για υπογραφή και χρονική σήμανση ενός αρχείου με το Azure Sign Tool. Αντικαταστήστε τις τιμές σε ΟΛΕΣ τις ΚΓΠ με τις πραγματικές πληροφορίες σας:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc ΠΙΣΤΟΠΟΙΗΤΙΚΟ-ΟΝΟΜΑ -kvi ΕΦΑΡΜΟΓΗ-ΠΕΛΑΤΗΣ-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
    Σημείωση: Από προεπιλογή, το SSL.com υποστηρίζει χρονικές σημάνσεις από κλειδιά ECDSA.

    Εάν αντιμετωπίσετε αυτό το σφάλμα: The timestamp certificate does not meet a minimum public key length requirement, θα πρέπει να επικοινωνήσετε με τον προμηθευτή του λογισμικού σας για να επιτρέψετε χρονικές σημάνσεις από κλειδιά ECDSA.

    Εάν δεν υπάρχει τρόπος για τον προμηθευτή του λογισμικού σας να επιτρέψει τη χρήση του κανονικού τερματικού σημείου, μπορείτε να χρησιμοποιήσετε αυτό το παλαιού τύπου τελικό σημείο http://ts.ssl.com/legacy για να λάβετε μια χρονική σήμανση από μια μονάδα χρονοσήμανσης RSA.
  3. Εάν η υπογραφή είναι επιτυχής, θα πρέπει να δείτε την έξοδο όπως η ακόλουθη (η αποτυχημένη υπογραφή δεν θα παράγει έξοδο):
    πληροφορίες: AzureSignTool.Program [0] => Αρχείο: test.exe Αρχείο υπογραφής test.exe πληροφορίες: AzureSignTool.Program [0] => Αρχείο: test.exe Η υπογραφή ολοκληρώθηκε με επιτυχία για το αρχείο test.exe. πληροφορίες PS C: \ Users \ Aaron Russell \ Desktop>
  4. Λεπτομέρειες σχετικά με τη νέα ψηφιακή υπογραφή θα είναι διαθέσιμες στις ιδιότητες του αρχείου:
    Λεπτομέρειες ψηφιακής υπογραφής
Σημείωση: Ο συγγραφέας του Azure Sign Tool παρέχει επίσης ένα περιδιάβαση για τη χρήση του εργαλείου με Azure DevOps.

SSL.com's EV Υπογραφή κώδικα τα πιστοποιητικά βοηθούν στην προστασία του κώδικά σας από μη εξουσιοδοτημένη παραβίαση και συμβιβασμό με το υψηλότερο επίπεδο επικύρωσης και είναι διαθέσιμα για μόλις 249 $ ανά έτος. Μπορείτε επίσης να χρησιμοποιήστε το πιστοποιητικό υπογραφής κωδικού EV σε κλίμακα στο σύννεφο χρησιμοποιώντας το eSigner. Με την αυτοματοποιημένη επιλογή του, το eSigner είναι κατάλληλο για υπογραφή εταιρικού κώδικα.

ΠΑΡΑΓΓΕΙΛΕ ΤΩΡΑ

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.