Signature de code avec Azure Key Vault

Instructions pour la signature de code à partir de la ligne de commande Windows avec un certificat et une clé privée stockés dans Azure Key Vault.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Ce guide s'applique uniquement aux certificats de signature de code IV et OV émis avant le 1er juin 2023. À partir du 1 juin 2023, les certificats de signature de code de validation d'organisation (OV) et de validation individuelle (IV) de SSL.com ont été émis soit sur des jetons USB Federal Information Processing Standard 140-2 (FIPS 140-2), soit via notre service de signature de code cloud eSigner. Ce changement est conforme avec les nouvelles exigences de stockage de clés du forum Certificate Authority/Browser (CA/B) pour renforcer la sécurité des clés de signature de code.

Ce didacticiel vous montrera comment signer des fichiers à partir de la ligne de commande Windows avec un certificat de signature de code et une clé privée stockés dans Azure Key Vault. Pour suivre ces instructions, vous aurez besoin de:

Qu'est-ce que Azure Sign Tool?

Outil de signature Azure est un utilitaire open source qui offre Outil de signature fonctionnalité pour les certificats et les clés stockés dans Azure Key Vault. Vous pouvez installer Azure Sign Tool avec la commande suivante dans Windows PowerShell (nécessite SDK .NET):

dotnet tool install --global AzureSignTool

[/ su_note]

Étape 1: enregistrer une nouvelle application Azure

Tout d'abord, vous devez enregistrer une nouvelle application Azure afin de pouvoir vous connecter à votre Key Vault pour la signature.

  1. Connectez-vous à la Portail Azure.
    Connectez-vous à Azure
  2. Accédez à Azure Active Directory. (Cliquez Plus de services si l'icône Azure Active Directory n'est pas visible.)
    Azure Active Directory
  3. Cliquez Inscriptions d'applications, dans la colonne de gauche.
    Inscriptions d'applications
  4. Cliquez Nouvelle inscription.
    Nouvelle inscription
  5. Donnez à votre candidature un Nom Et cliquez sur le S'inscrire bouton. Laissez les autres paramètres à leurs valeurs par défaut.
    Enregistrer une demande
  6. Votre nouvelle application a été enregistrée. Copiez et enregistrez la valeur indiquée pour ID de l'application (client), car vous en aurez besoin plus tard.
    ID de l'application (client)
  7. Cliquez Authentification.
    Authentification
  8. Sous Paramètres avancés, ensemble Autoriser les flux de clients publics à Yes.
    Autoriser les flux de clients publics
  9. Cliquez Enregistré.
    Enregistré

Étape 2: créer un secret client

Ensuite, générez un secret client, qui servira d'informations d'identification lors de la signature.

  1. Cliquez Certificats et secrets dans le menu de gauche.
    Certificats et secrets
  2. Cliquez Nouveau secret client.
    Nouveau secret client
  3. Donnez à votre client un secret Description, définissez l'expiration comme vous le souhaitez et cliquez sur le Ajouter .
    Ajouter un secret client
  4. Copiez le Propositions de votre nouveau secret client immédiatement et enregistrez-le dans un endroit sûr. La prochaine fois que la page sera actualisée, cette valeur sera masquée et irrécupérable.
    copier la valeur secrète

Étape 3: Activer l'accès dans Key Vault

Vous devez maintenant activer l'accès pour votre application dans Azure Key Vault.

  1. Accédez au Key Vault contenant le certificat que vous souhaitez utiliser pour la signature et cliquez sur le bouton Politiques d'accès lien.
    Politiques d'accès
  2. Cliquez Ajouter une politique d'accès.
    Ajouter une politique d'accès
  3. Sous Autorisations clés, activer Sign.
    Activer le signe sous les autorisations de clé
  4. Sous Autorisations de certificat, activer Get.
    Activer Obtenir sous les autorisations de certificat
  5. Cliquez Aucune sélection lien, sous Sélectionnez le principal, puis utilisez le champ de recherche pour localiser et sélectionner l'application que vous avez créée dans la section précédente.
    Sélectionnez le principal
  6. Cliquez Choisir .
    Choisir
  7. Cliquez Ajouter .
    Ajouter
  8. Cliquez Enregistré.
    Enregistré
  9. Votre politique d'accès est définie et vous êtes prêt à commencer à signer des fichiers.
    Politique d'accès terminée

Étape 4: signer un fichier

Vous êtes enfin prêt à signer du code!

  1. Vous aurez besoin des informations suivantes disponibles:
    • Votre URI de Key Vault (disponible dans le portail Azure):
      URI de Key Vault
    • Votre nom familier de votre certificat dans Key Vault:
      Nom du certificat
    • Votre ID de l'application (client) valeur de votre application Azure:
      ID de l'application (client)
    • Votre secret client vous avez généré ci-dessus:
      copier la valeur secrète
  2. Vous trouverez ci-dessous un exemple de commande dans PowerShell pour signer et horodater un fichier avec Azure Sign Tool. Remplacez les valeurs en MAJUSCULES par vos informations réelles:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 CHEMIN-À-EXECUTABLE
    Remarque : Par défaut, SSL.com prend en charge les horodatages des clés ECDSA.

    Si vous rencontrez cette erreur : The timestamp certificate does not meet a minimum public key length requirement, vous devez contacter votre fournisseur de logiciels pour autoriser les horodatages des clés ECDSA.

    Si votre fournisseur de logiciels n'a aucun moyen d'autoriser l'utilisation du point de terminaison normal, vous pouvez utiliser ce point de terminaison hérité http://ts.ssl.com/legacy pour obtenir un horodatage d'une unité d'horodatage RSA.
  3. Si la signature réussit, vous devriez voir une sortie comme celle-ci (une signature infructueuse ne produira aucune sortie):
    info: AzureSignTool.Program [0] => Fichier: test.exe Fichier de signature test.exe info: AzureSignTool.Program [0] => Fichier: test.exe Signature réussie pour le fichier test.exe. info PS C: \ Utilisateurs \ Aaron Russell \ Desktop>
  4. Les détails sur la nouvelle signature numérique seront disponibles dans les propriétés du fichier:
    Détails de la signature numérique
Remarque : L'auteur d'Azure Sign Tool a également fourni un walkthrough pour utiliser l'outil avec Azure DevOps.

SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner. Avec son option automatisée, eSigner convient à la signature de code d'entreprise.

COMMANDER MAINTENANT

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.