SSL.com

Signature de code avec Azure Key Vault

Équipe d'assistance SSL.com

Ce guide s'applique uniquement aux certificats de signature de code IV et OV émis avant le 1er juin 2023. À partir du 1 juin 2023, les certificats de signature de code de validation d'organisation (OV) et de validation individuelle (IV) de SSL.com ont été émis soit sur des jetons USB Federal Information Processing Standard 140-2 (FIPS 140-2), soit via notre service de signature de code cloud eSigner. Ce changement est conforme avec les nouvelles exigences de stockage de clés du forum Certificate Authority/Browser (CA/B) pour renforcer la sécurité des clés de signature de code.

Ce didacticiel vous montrera comment signer des fichiers à partir de la ligne de commande Windows avec un certificat de signature de code et une clé privée stockés dans Azure Key Vault. Pour suivre ces instructions, vous aurez besoin de:

Qu'est-ce que Azure Sign Tool?

Outil de signature Azure est un utilitaire open source qui offre Outil de signature fonctionnalité pour les certificats et les clés stockés dans Azure Key Vault. Vous pouvez installer Azure Sign Tool avec la commande suivante dans Windows PowerShell (nécessite SDK .NET):

dotnet tool install --global AzureSignTool

[/ su_note]

Étape 1: enregistrer une nouvelle application Azure

Tout d'abord, vous devez enregistrer une nouvelle application Azure afin de pouvoir vous connecter à votre Key Vault pour la signature.

  1. Connectez-vous à la Portail Azure.
    Connectez-vous à Azure
  2. Accédez à Azure Active Directory. (Cliquez Plus de services si l'icône Azure Active Directory n'est pas visible.)
  3. Cliquez Inscriptions d'applications, dans la colonne de gauche.
  4. Cliquez Nouvelle inscription.
  5. Donnez à votre candidature un Nom Et cliquez sur le Inscription bouton. Laissez les autres paramètres à leurs valeurs par défaut.
  6. Votre nouvelle application a été enregistrée. Copiez et enregistrez la valeur indiquée pour ID de l'application (client), car vous en aurez besoin plus tard.
  7. Cliquez Authentification.
  8. Sous Paramètres avancés, ensemble Autoriser les flux de clients publics à Yes.
  9. Cliquez Épargnez.
Haut de Page

Étape 2: créer un secret client

Ensuite, générez un secret client, qui servira d'informations d'identification lors de la signature.

  1. Cliquez Certificats et secrets dans le menu de gauche.
  2. Cliquez Nouveau secret client.
  3. Donnez à votre client un secret Description, définissez l'expiration comme vous le souhaitez et cliquez sur le Ajouter .
  4. Copiez le Valeur de votre nouveau secret client immédiatement et enregistrez-le dans un endroit sûr. La prochaine fois que la page sera actualisée, cette valeur sera masquée et irrécupérable.
Haut de Page

Étape 3: Activer l'accès dans Key Vault

Vous devez maintenant activer l'accès pour votre application dans Azure Key Vault.

  1. Accédez au Key Vault contenant le certificat que vous souhaitez utiliser pour la signature et cliquez sur le bouton Politiques d'accès lien.
  2. Cliquez Ajouter une politique d'accès.
  3. Sous Autorisations clés, activer Sign.
  4. Sous Autorisations de certificat, activer Get.
  5. Cliquez Aucune sélection lien, sous Sélectionnez le principal, puis utilisez le champ de recherche pour localiser et sélectionner l'application que vous avez créée dans la section précédente.
  6. Cliquez Sélectionnez .
  7. Cliquez Ajouter .
  8. Cliquez Épargnez.
  9. Votre politique d'accès est définie et vous êtes prêt à commencer à signer des fichiers.
Haut de Page

Étape 4: signer un fichier

Vous êtes enfin prêt à signer du code!

  1. Vous aurez besoin des informations suivantes disponibles:
    • Votre URI de Key Vault (disponible dans le portail Azure):
    • La nom familier de votre certificat dans Key Vault:
    • La ID de l'application (client) valeur de votre application Azure:
    • La secret client vous avez généré ci-dessus:
  2. Vous trouverez ci-dessous un exemple de commande dans PowerShell pour signer et horodater un fichier avec Azure Sign Tool. Remplacez les valeurs en MAJUSCULES par vos informations réelles: 
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 CHEMIN-À-EXECUTABLE
    Remarque: Par défaut, SSL.com prend en charge les horodatages des clés ECDSA.

    Si vous rencontrez cette erreur : The timestamp certificate does not meet a minimum public key length requirement, vous devez contacter votre fournisseur de logiciels pour autoriser les horodatages des clés ECDSA.

    Si votre fournisseur de logiciels n'a aucun moyen d'autoriser l'utilisation du point de terminaison normal, vous pouvez utiliser ce point de terminaison hérité http://ts.ssl.com/legacy pour obtenir un horodatage d'une unité d'horodatage RSA.
  3. Si la signature réussit, vous devriez voir une sortie comme celle-ci (une signature infructueuse ne produira aucune sortie): 
    info: AzureSignTool.Program [0] => Fichier: test.exe Fichier de signature test.exe info: AzureSignTool.Program [0] => Fichier: test.exe Signature réussie pour le fichier test.exe. info PS C: \ Utilisateurs \ Aaron Russell \ Desktop>
  4. Les détails sur la nouvelle signature numérique seront disponibles dans les propriétés du fichier:
Remarque: L'auteur d'Azure Sign Tool a également fourni un walkthrough pour utiliser l'outil avec Azure DevOps.

SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner. Avec son option automatisée, eSigner convient à la signature de code d'entreprise.

COMMANDER MAINTENANT

Quitter la version mobile