Tämä opas koskee vain IV- ja OV-koodin allekirjoitusvarmenteita, jotka on myönnetty ennen 1. 1. kesäkuuta 2023 alkaen, SSL.comin Organisaation validointi (OV) ja Individual Validation (IV) koodin allekirjoitussertifikaatit on myönnetty joko Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tunnuksilla tai eSigner-pilvikoodiallekirjoituspalvelumme kautta. Tämä muutos on vaatimusten mukainen varmentaja/selain (CA/B) -foorumin uusien avainten tallennusvaatimusten kanssa koodin allekirjoitusavainten turvallisuuden lisäämiseksi.
Tämä opetusohjelma näyttää, kuinka voit allekirjoittaa tiedostoja Windowsin komentoriviltä koodin allekirjoitusvarmenteella ja Azure Key Vaultiin tallennetulla yksityisellä avaimella. Näiden ohjeiden noudattaminen edellyttää:
- An Azure-tili
- A Avainholvi
- A koodin allekirjoitusvarmenne asennettu Key Vaultiin. Voit joko:
- Azure Sign Tool asennettuna tietokoneelle, jota käytät allekirjoittamiseen
Mikä on Azure Sign Tool?
Azure Sign Tool on avoimen lähdekoodin apuohjelma, joka tarjoaa SignTool toiminnot Azure Key Vaultiin tallennettuihin varmenteisiin ja avaimiin. Voit asentaa Azure Sign Tool -työkalun seuraavalla komennolla Windows PowerShellissä (vaatii .NET SDK):
dotnet tool install --global AzureSignTool
Vaihe 1: Rekisteröi uusi Azure-sovellus
Ensin sinun on rekisteröitävä uusi Azure-sovellus, jotta voit muodostaa yhteyden Key Vaultiin allekirjoittamista varten.
- Kirjaudu sisään Azure-portaali.
- Navigoida johonkin Azure Active Directory. (Klikkaus Lisää palveluita jos Azure Active Directory -kuvake ei ole näkyvissä.)
- Napauta Sovellusten rekisteröinnit, vasemmassa sarakkeessa.
- Napauta Uusi rekisteröinti.
- Anna hakemuksellesi a Nimi Ja napsauta Rekisteröidy -painiketta. Jätä muut asetukset oletusarvoihinsa.
- Uusi hakemuksesi on rekisteröity. Kopioi ja tallenna näytetty arvo Sovelluksen (asiakas) tunnus, koska tarvitset sitä myöhemmin.
- Napauta Authentication.
- Alle Lisäasetukset, asetettu Salli julkiset asiakasvirrat että
Yes.
- Napauta Säästä.
Vaihe 2: Luo asiakassalaisuus
Luo seuraavaksi asiakassalaisuus, joka toimii kirjautumistiedoina allekirjoitettaessa.
- Napauta Sertifikaatit ja salaisuudet vasemmassa valikossa.
- Napauta Uusi asiakassalaisuus.
- Anna asiakkaallesi salaisuus a Kuvaus, aseta vanhentuminen halutuksi ja napsauta Lisää painiketta.
- Kopioi Arvo uuden asiakkaan salaisuudesta heti ja tallenna se turvalliseen paikkaan. Seuraavan kerran, kun sivu päivitetään, tämä arvo on peitetty ja peruuttamaton.
Vaihe 3: Ota käyttöön Key Vault
Nyt sinun on sallittava sovelluksesi käyttöoikeus Azure Key Vaultissa.
- Siirry Key Vaultiin, joka sisältää varmenteen, jota haluat käyttää allekirjoittamiseen, ja napsauta Käyttöoikeuskäytännöt linkki.
- Napauta Lisää käyttöoikeudet.
- Alle Avainten käyttöoikeudet, ota käyttöön
Sign.
- Alle Varmenneoikeudet, ota käyttöön
Get.
- Valitse Mitään ei ole valittu linkki, alla Valitse pääosaja etsi sitten hakukentän avulla edellisessä osassa luomasi sovellus.
- Valitse valita painiketta.
- Valitse Lisää painiketta.
- Napauta Säästä.
- Käyttöoikeuskäytäntösi on määritetty ja olet valmis aloittamaan tiedostojen allekirjoittamisen.
Vaihe 4: Allekirjoita tiedosto
Nyt olet vihdoin valmis allekirjoittamaan koodin!
- Tarvitset seuraavat käytettävissä olevat tiedot:
- Sinun Key Holvin URI (saatavana Azure-portaalista):
- - ystävällinen nimi varmenteen Key Vaultista:
- - Sovelluksen (asiakas) tunnus arvo Azure-sovelluksestasi:
- - asiakkaan salaisuus olet luonut yllä:
- Sinun Key Holvin URI (saatavana Azure-portaalista):
- Alla on esimerkki PowerShell-komennosta tiedoston allekirjoittamiseksi ja aikaleimaksi Azure Sign Tool -työkalulla. Korvaa KAIKKI CAPS -arvot todellisilla tiedoilla:
azuresigntool-merkki -kvu AVAIN-VAULT-URI -kvc-SERTIFIKAATTI-NIMI -kvi SOVELLUS-ASIAKAS-ID -kvs ASIAKAS-SALAISUUS -tr http://ts.ssl.com/ -td sha256 PATH-TO-SUORITETTAVA
Huomautus: Oletusarvoisesti SSL.com tukee ECDSA-avaimien aikaleimoja.
Jos kohtaat tämän virheen:The timestamp certificate does not meet a minimum public key length requirement, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.
Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettähttp://ts.ssl.com/legacysaadaksesi aikaleiman RSA-aikaleimayksiköstä. - Jos allekirjoittaminen onnistuu, sinun pitäisi nähdä seuraavanlainen lähtö (epäonnistunut allekirjoittaminen ei tuota tulosta):
info: AzureSignTool.Program [0] => Tiedosto: test.exe Allekirjoitustiedosto test.exe info: AzureSignTool.Program [0] => Tiedosto: test.exe Tiedoston test.exe allekirjoittaminen onnistui. info PS C: \ Users \ Aaron Russell \ Desktop>
- Lisätietoja uudesta digitaalisesta allekirjoituksesta on saatavana tiedoston ominaisuuksissa:
Huomautus: Azure Sign Tool -työkalun kirjoittaja on myös toimittanut a läpikäynti työkalun käyttämiseen Azure DevOpsin kanssa.
SSL.com n EV Koodin allekirjoittaminen varmenteet auttavat suojaamaan koodiasi luvattomalta manipuloinnilta ja vaarantumiselta korkeimmalla varmennustasolla, ja ne ovat saatavilla vain vähän $ 249 vuodessa. Voit myös käytä EV Code Signing -sertifikaattiasi mittakaavassa pilvessä eSignerillä. Automatisoidulla vaihtoehdolla eSigner soveltuu yrityskoodin allekirjoittamiseen.
