Tämä opasartikkeli näyttää, kuinka eSigner CKA asennetaan ja miten sitä käytetään automaattiseen ja manuaaliseen koodin allekirjoittamiseen Signtoolissa.
eSigner CKA (Cloud Key Adapter) on Windows-pohjainen sovellus, joka käyttää CNG-käyttöliittymää (KSP Key Service Provider), jotta työkalut, kuten certutil.exe ja signtool.exe, voivat käyttää eSigner Cloud Signature Consortium (CSC) -yhteensopivaa API:ta yrityskoodin allekirjoitustoimintoihin. Se toimii virtuaalisena USB-tunnisteena ja lataa koodin allekirjoitussertifikaatit varmennevarastoon.
eSigner CKA mahdollistaa joustavat vaihtoehdot allekirjoitusten automatisoimiseksi CI/CD-prosesseissa, joita ei ole olemassa fyysisellä USB-tunnisteella. Saat ohjeita eSigner CKA:n käyttämiseen automaattiseen koodin allekirjoittamiseen CI/CD-työkaluissa, kuten CircleCI, GitHub Actions, Gitlab CI ja Travis CI, vierailemalla tällä sivulla: Kuinka integroida eSigner CKA CI/CD-työkaluihin automaattista koodin allekirjoitusta varten.
HUOMAUTUS
Tämä opetusmateriaali vaatii seuraavaa:
- Myönnetty EV Code Signing -sertifikaatti.
- EV Code Signing -sertifikaatti on tällä hetkellä rekisteröity eSigneriin. Jos näin ei ole, katso tämä ohjeartikkeli.
- Matkapuhelimeesi asennettu todennussovellus, kuten Google-todennussovellus.
Muotoile komentorivi
Komentorivin osat
Sekä manuaalista että automaattista koodin allekirjoitusta varten sinun on kirjoitettava tekstieditorin komentoriville, kuten Komentorivi. Komentorivi sisältää:
- SignToolin (komentorivityökalu, joka vastaa tiedoston digitaalisesta allekirjoittamisesta ja vahvistaa allekirjoituksen) sijainti suluissa: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
- - /fd sha256 vaihtoehto, joka määrittää hajautusalgoritmin
- - / tr http://ts.ssl.com vaihtoehto, joka määrittää aikaleimapalvelimen osoitteen
- /td sha256 vaihtoehto, joka määrittää aikaleiman tiivistelmäalgoritmin
- - /sha1 vaihtoehto, joka määrittää peukalonjäljen, jota SignTool käyttää löytääkseen oikean koodin allekirjoitusvarmenteen avainsäilöstä
- Todellinen sertifikaatin peukalonjälki
- Allekirjoitettavan tiedoston polku suluissa: "SIGNABLE FILE PATH"
Kaiken kaikkiaan komentorivin pitäisi näyttää tältä:
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" -merkki /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 varmenteen peukalojälki " ALLEKIRJOITETTU TIEDOSTOPOLKU”.
Jos kohtaat tämän virheen:
The timestamp certificate does not meet a minimum public key length requirement, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettä
http://ts.ssl.com/legacy saadaksesi aikaleiman RSA-aikaleimayksiköstä.Varmenteen peukalonjälki
Myöhemmin, kun asennat eSigner CKA:n ja lisäät EV Code Signing -varmenteen Käyttäjätodistuskauppa, voit tarkistaa EV Code Signing -varmenteen peukalojäljen painamalla Windows-näppäin + R ja kirjoita sitten sisään certmgr.msc päästäksesi käyttäjävarmennekauppaan. Kun varmenteiden hallintaikkuna avautuu, napsauta Henkilökohtainen kansio vasemmassa paneelissa ja valitse sitten Sertifikaatit oikealla olevasta alikansiosta löytääksesi EV Code Signing -varmenteen.
Kaksoisnapsauta varmennetta. Valitse Tiedot -välilehti ja vieritä sitten alaspäin, jotta peukalonjälki tulee näkyviin. Kopioi peukalokuva ja sisällytä se komentoriville, kun allekirjoitat koodia.
Manuaalinen koodin allekirjoitus
Asenna eSigner CKA
Kun valitset asennustilan, valitse Manuaalinen koodin allekirjoitus ja napsauta sitten OK-painiketta.
Kirjaudu eSigner CKA -ohjelmaan
Kun olet asentanut eSigner CKA:n, avaa ohjelma ja kirjaudu sisään SSL.com-tilisi käyttäjätunnuksella ja salasanalla.
Onnistuneen kirjautumisen jälkeen näet sen tahon nimen, jolle EV-koodin allekirjoitusvarmenne on myönnetty, sarjanumeron, viimeinen voimassaolopäivän ja EVCS (Extended Validation Code Signing) lyhenne.
Kirjoita komentorivi tekstieditoriin
Muistaakseni koodin allekirjoituksen komentorivi näyttää tältä:
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" -merkki /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 varmenteen peukalojälki " ALLEKIRJOITETTU TIEDOSTOPOLKU”
Kun kirjoitat komentorivin tekstieditorillasi ja painat enter, näet viestin Lisämyymälä on lisätty. Sitten avautuu ikkuna, jossa sinun on asetettava SSL.com-tilisi käyttäjätunnus ja salasana.
Kirjoita kertakäyttöinen salasana (OTP)
Kertakäyttöinen salasana (OTP) eSigner-rekisteröityyn EV-koodin allekirjoitusvarmenteeseen lähetetään Authenticator-sovellukseesi. Onnistuneen syöttämisen jälkeen komentokehote ilmoittaa, että tiedostosi on allekirjoitettu onnistuneesti.
Tarkista tiedoston digitaalinen allekirjoitus
Onnistuneen koodin allekirjoituksen jälkeen voit nyt tarkistaa tiedoston digitaalisen allekirjoituksen tiedot. Napsauta allekirjoitettua tiedostoa hiiren kakkospainikkeella, napsauta Kiinteistöt, jota seuraa Digitaaliset allekirjoitukset Tab. Täällä näet allekirjoittajan nimen, käytetyn tiivistelmäalgoritmin ja allekirjoituksen aikaleiman. Klikkaa Lisätiedot -painiketta saadaksesi lisätietoja allekirjoitetusta koodista.
Napsauttamalla Lisätiedot, voit lukea tiedot Tämä digitaalinen allekirjoitus on kunnossa. Jatka napsauttamalla Näytä varmenne painiketta.
Kun olet klikannut Näytä varmenne -painiketta, luet tiedot, jotka osoittavat, että allekirjoitetulle tiedostolle myönnetty digitaalinen varmenne varmistaa sen olevan julkaisijalta ja suojaa sitä muutoksilta julkaisun jälkeen.
Automaattinen koodin allekirjoitus
Asenna eSigner CKA
Kun valitset asennustilan, valitse Automaattinen koodin allekirjoitus ja napsauta sitten OK-painiketta.
Tallenna pääavaintiedosto
Näkyviin tulee huomautus, joka selittää pääavaintiedoston suojaamisen tärkeyden. Lue se ja napsauta sitten OK-painiketta.
Tämän jälkeen avautuu ikkuna, jossa voit valita, mihin tallennat pääavaintiedoston.
Kirjoita SSL.com-tilisi käyttäjänimi ja salasana
Syötä SSL.com-tilisi käyttäjänimi ja salasana.
Kirjoita eSigner Aikaperusteinen kertakäyttöinen salasana (TOTP)
Aseta sitten Time-based One-Time salasanasi (TOTP). Löydät TOTP:si EV Code Signing -varmenteen tilaustiedoista SSL.com-tililläsi. Kirjoita 4-numeroinen PIN-koodi, jonka olet aiemmin asettanut rekisteröidessäsi tilauksesi eSignerille, ja napsauta sitten Näytä QR-koodi -painiketta paljastaaksesi TOTP:n.
TOTP-arvosi näytetään laatikossa, jossa on otsikko salainen koodi. Kopioi TOTP, liitä se TOTP-salaisuus eSigner CKA -ikkunan kenttään ja napsauta sitten OK -painiketta tallentaaksesi sen.
Kun olet lisännyt SSL.com-tilisi kirjautumistiedot ja TOTP:n, voit tarkastella EV Code Signing -varmenteen tietoja. Jos päätät päivittää TOTP:si, liitä uusi TOTP varattuun kenttään ja napsauta sitten Säästä.
Kirjoita komentorivi tekstieditoriin
Muistaakseni koodin allekirjoituksen komentorivi näyttää tältä:
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" -merkki /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikaatin peukalojälki "allekirjoitettu" TIEDOSTOPOLKU"
avoin Komentorivi ja aseta komentorivi. Kun painat enteriä, näet ilmoituksen Lisämyymälä on lisätty.
Muutaman sekunnin kuluttua näet ilmoituksen Allekirjoitettu onnistuneesti. Tämä tarkoittaa, että tiedostosi on allekirjoitettu automaattisesti ilman ylimääräistä OTP:tä tarvetta.
Tarkista, onko tiedostossasi digitaalinen allekirjoitus
Avaa allekirjoitetun tiedoston kansion sijainti. Napsauta sitä hiiren kakkospainikkeella ja napsauta sitten Kiinteistöt. Napsauta välilehteä Digitaaliset allekirjoitukset ja tässä näet, että käytetyssä suojatussa hash-algoritmissa on 256 bittiä. Napsauta välitöntä tilaa, jossa näkyy allekirjoittajan nimi, tiivistelmäalgoritmi ja aikaleima. Kun se on korostettu, jatka napsauttamalla Lisätiedot painiketta.
Tämän jälkeen näkyviin tulee ponnahdusikkuna, jossa ilmoitetaan, että tiedoston digitaalinen allekirjoitus on voimassa, sekä tarkan allekirjoitusajankohdan. Klikkaa Näytä varmenne -painiketta nähdäksesi lisätietoja myönnetystä EV Code Signing -digitaalivarmenteesta.
Näet tiedot EV Code Signing -sertifikaatista, jossa todetaan, että se vahvistaa sinut suoritettavan tiedoston luojaksi ja suojaa tiedostoasi muuttamiselta.
Kuinka testata eSigner CKA:ta hiekkalaatikkotililläsi
Asenna eSigner CKA
Valitse haluatko asentaa sen manuaalinen or Automatisoitu tila.
****Huomaa, että jos olet valinnut yhden tilan, sinun on asennettava ohjelma uudelleen ennen kuin voit testata sitä toisessa tilassa.*****
Avaa Appdatan Roaming-alihakemisto
Jotta voit testata eSigner CKA:ta SSL.com-hiekkalaatikkotilisi avulla, sinun on muutettava sovelluksen asetuksia AppData-kansion Roaming-alihakemistossa. Tulla sisään %Sovellustiedot% Windowsin hakupalkissa, joka vie sinut suoraan AppDatan roaming-alihakemistoon.
Avaa eSigner Tiedosto tekstieditorillasi
Avaa eSignerCKA kansio, etsi tiedosto esignerapp.data, napsauta sitä hiiren kakkospainikkeella ja valitse tässä tapauksessa vaihtoehto muokata tiedostoa tekstieditorillasi Notepad ++.
Kun avaat tekstieditorin, näet alla olevat arvojoukot.
Voit jakaa arvojoukot seuraaville riveille, jotta niitä on helpompi muokata.
Manuaalisen tilan testin allekirjoitus
Testausta varten manuaalisessa tilassa tulee olla seuraavat arvot:
- Asiakastunnuksen tulee olla: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
- Lisää -yrittää osoitteessa api_url
Ennen: "api_url":"https://cs.ssl.com/csc/v0/
Jälkeen: "api_url":"https://cs-kokeile.ssl.com/csc/v0/" - korvata Kirjaudu sisään with oauth-hiekkalaatikko osoitteessa auth_url
Ennen: "auth_url":"https://Kirjaudu sisään.ssl.com/oauth2/token"
Jälkeen: "auth_url":"https://oauth-hiekkalaatikko.ssl.com/oauth2/token" - "cred_mode": 0
- "master_key": tyhjä
Automaattisen tilan testiallekirjoitus
Testiallekirjoitusta varten automaattisessa tilassa tulee olla seuraavat arvot:
- Asiakastunnuksen tulee olla: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
- Lisää -yrittää osoitteessa api_url
Ennen: "api_url":"https://cs.ssl.com/csc/v0/
Jälkeen: "api_url":"https://cs-kokeile.ssl.com/csc/v0/" - korvata Kirjaudu sisään with oauth-hiekkalaatikko osoitteessa auth_url
Ennen: "auth_url":"https://Kirjaudu sisään.ssl.com/oauth2/token"
Jälkeen: "auth_url":"https://oauth-hiekkalaatikko.ssl.com/oauth2/token" - "cred_mode": 1
- korvata nolla Master_key-avaimessa tarkalla tiedostopolullasi yleisavain tiedosto.
Kun asennat eSigner CKA:ta automatisoidussa tilassa testausta varten, sinun on annettava hiekkalaatikkotilisi kirjautumistiedot. Syynä on se, että automaattisessa koodin allekirjoituksessa kirjautumistiedot salataan pääavaimella. Jos syötät tuotannon kirjautumistiedot asennuksen yhteydessä ja muutat myöhemmin esignerapp.data-tiedoston arvoja automaattisen testausmuodon mukaisesti, et voi suorittaa testejä, koska antamasi käyttäjätunnus ja salasana eivät ole Sandbox-testiympäristössä.
Kirjaudu eSigner CKA:han SSL.com-hiekkalaatikkotilisi tunnuksilla
Arvojen muuttamisen jälkeen päälle esignerapp.data, voit nyt testata EV-koodin allekirjoitusvarmennetta hiekkalaatikostasi noudattamalla samoja vaiheita, jotka on kuvattu aiemmin live-varmenteessa.
Hardware Lab Kit (HLK) -tiedoston allekirjoittaminen eSigner CKA:lla ja HLKSigntoolilla
Hardware Lab Kit on työkalu, jolla testataan ja valmistetaan ydintilan ajuri lähetettäväksi Microsoftille. Tällä hetkellä eSigner CKA vaatii myös HLKSigntoolin asentamisen, jotta sitä voidaan käyttää Microsoftin HLK-ohjelmistossa.
eSigner CKA on ensin asennettava ja määritettävä (käyttäjä on kirjautunut sisään ja TOTP-salaisuusjoukko) ennen HLKSignTool.exe-ohjelman suorittamista.
Vaihe 1. Asenna ja määritä eSigner CKA
Vaihe 2. Käytä HLKSignToolia alla olevan komentorivin kanssa
Komentorivi
HLKSignTool.exe-sertifikaattisarja "polku tiedostoon"
Esimerkiksi:
HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"
VBA-makrojen allekirjoittaminen eSigner CKA:lla
Lataa ja asenna tämän linkin avulla Microsoft Office Subject Interface Packages for Digital Signing VBA Projects käyttämällä tätä linkkiä: https://www.microsoft.com/en-us/download/details.aspx?id=56617
Kun olet asentanut, suorita seuraavat vaiheet:
- Avaa järjestelmänvalvojan komentokehote ja kirjoita seuraava, polku on se, johon juuri asensit tiedostot:
regsvr32.exe
regsvr32.exe
Lisätietoja OLE-ohjaimien rekisteröimisestä on osoitteessa Microsoftin verkkosivusto.
Jos onnistut, näet viestin: "DIIRegister Server in onnistui."
- Asenna seuraavat: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
- Asenna eSigner CKA
- Suorita SignTool-komento allekirjoittaaksesi makrot: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line
.app-tiedostojen allekirjoittaminen eSigner CKA:lla
- Lataa Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113
Huomautus: Jos yrität allekirjoittaa a .sovellus tiedosto eSigner CKA:lla asentamatta ensin Microsoftia Dynamics 365 Business Central -sovellus, saat tämän SignTool-virheen: Tätä tiedostomuotoa ei voi allekirjoittaa, koska sitä ei tunnisteta. - Avaa Dynamics.365.BC.55195.US.DVD.zip ja pura sisältö haluamaasi paikkaan.
- avoin setup.exe varten Microsoft Dynamics 365 Business Central ja napsauta Seuraava> painiketta.
- Lue Microsoftin ohjelmiston käyttöoikeusehdot ja napsauta sitten Hyväksyn > painiketta.
- Valita Kehittyneet asennusvaihtoehdot
- Napauta Valitse asennusvaihtoehto.
- Valitse Server asennusvaihtoehto.
- Valitse käyttää nappi.
- Odota asennuksen valmistumista. Kun asennus on onnistunut, napsauta lähellä painiketta.
- Allekirjoita .app-tiedostosi SignToolissa: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line
Kuinka allekirjoittaa vsix-tiedostoja eSigner CKA:lla
- Lataa Dotnet Core SDK: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
- Asenna OpenVsixSignTool
dotnet tool install -g OpenVsixSignTool - Käytä tätä merkkikomentoa:
OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamphttp://ts.ssl.com-ta sha256 -fd sha256 "SIGNABLE FILE PATH"
Kuinka käyttää haittaohjelmien tarkistusta eSigner CKA:ssa
Ohjeet:
- Kirjaudu sisään SSL.com-tilillesi. Napsauta tilaukset-välilehteä ja sen jälkeen download sertifikaattisi linkki näyttääksesi sen tiedot. Vieritä alas kohtaan ALLEKIRJOITUSKUVAUS osio ja etsi osa, jossa näkyy eSigner-varmenteen tunnistetiedot. Varmista, että radiopainikkeet sanovat allekirjoitustiedot käytössä ja haittaohjelmien esto käytössä valitaan.
- Asenna eSigner Cloud Key Adapter.
- Asenna eSigner CodeSignTool. Klikkaus tätä ladataksesi eSigner CodeSignToolin.
- Skannaa koodi CodeSignToolissa käyttämällä seuraavaa komentoa:
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME> - Allekirjoita koodi eSigner CKA:lla käyttämällä Sign Toolia seuraavalla komennolla:
scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>
parametrit:
-input_file_path=<PATH>: Allekirjoitettavan koodiobjektin polku.-username=<USERNAME>: SSL.com tilin käyttäjätunnus-password=<PASSWORD>: SSL.com tilin salasana.-program_name=<PROGRAM_NAME>: Ohjelman nimi-credential_id=<CREDENTIAL_ID>: Tunnus varmenteen allekirjoittamista varten. eSigner Credential ID -tunnuksesi sijaitsee sinun SSL.com sertifikaatin tilaussivu.
SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille, mukaan lukien:
