Az EV-kód aláírásának automatizálása a Signtool.exe vagy a Certutil.exe segítségével az eSigner CKA (Cloud Key Adapter) segítségével

Ez az útmutatócikk bemutatja, hogyan telepíthető az eSigner CKA, és hogyan használható a Signtool automatikus és kézi kódaláírására. 

eSigner CKA (Cloud Key Adapter) egy Windows alapú alkalmazás, amely a CNG interfészt (KSP Key Service Provider) használja, hogy lehetővé tegye az olyan eszközök számára, mint a certutil.exe és a signtool.exe, hogy az eSigner Cloud Signature Consortium (CSC)-kompatibilis API-t használhassák a vállalati kód-aláírási műveletekhez. Úgy működik, mint egy virtuális USB-token, és betölti a kód aláíró tanúsítványokat a tanúsítványtárolóba.

Az eSigner CKA rugalmas lehetőségeket tesz lehetővé az aláírások automatizálására olyan CI/CD folyamatokban, amelyek nem léteznek fizikai USB-tokennel. Ha útmutatást szeretne kapni az eSigner CKA automatikus kódaláíráshoz való használatához CI/CD eszközökben, beleértve a CircleCI-t, a GitHub Actions-t, a Gitlab CI-t és a Travis CI-t, látogassa meg ezt az oldalt: Az eSigner CKA integrálása CI/CD eszközökkel az automatikus kódaláíráshoz.

JEGYZET 

Ehhez az oktatóanyaghoz a következőkre van szükség: 

1. Kiállított EV Code Signing tanúsítvány. 
2. EV Code Signing tanúsítvány jelenleg regisztrálnia kell az eSignerre. Ha nem ez a helyzet, kérjük, olvassa el ezt útmutató cikk. 
3. Telepített hitelesítő alkalmazás mobiltelefonjára, például Google hitelesítő alkalmazás.

Fogalmazza meg a parancssort

A parancssor összetevői

Mind a kézi, mind az automatikus kódaláíráshoz be kell írnia a szövegszerkesztő parancssorába, mint pl Parancssor. A parancssor a következőket tartalmazza:

1. A SignTool (a fájl digitális aláírásáért felelős és az aláírást ellenőrző parancssori eszköz) helye zárójelben: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe”
2. A /fd sha256 opció, amely megadja a Hash algoritmust
3. A / tr http://ts.ssl.com opció, amely megadja az időbélyeg-kiszolgáló címét
4. /td sha256 opció, amely megadja az időbélyeg kivonat algoritmusát
5. A /sha1 opció, amely megadja azt az ujjlenyomatot, amelyet a SignTool használ a megfelelő kódaláíró tanúsítvány megtalálásához a kulcstárolóból
6. A tanúsítvány tényleges ujjlenyomata
7. Az aláírandó fájl elérési útja zárójelben: „SIGNABLE FILE PATH”

Összességében a parancssornak a következőképpen kell kinéznie: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" jel /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 tanúsítvány ujjlenyomat " Aláírható FÁJLÚT”. 

Tanúsítvány ujjlenyomata

Később, az eSigner CKA telepítése és az EV Code Signing tanúsítvány hozzáadásával a Felhasználói tanúsítvány tároló, akkor ellenőrizheti az EV Code Signing tanúsítvány ujjlenyomatát a gomb megnyomásával Windows gomb + R majd írja be certmgr.msc a Felhasználói tanúsítvány tároló eléréséhez. Amikor megjelenik a tanúsítványkezelő ablak, kattintson a Személyes mappát a bal oldali panelen, majd válassza ki a tanúsítványok almappát a jobb oldalon, hogy megtalálja az EV Code Signing tanúsítványát.

Kattintson duplán a tanúsítványra. Válassza a Részletek lehetőséget fület, majd görgessen lefelé az ujjlenyomat megjelenítéséhez. Másolja ki az ujjlenyomatot, és írja be a parancssorba, amikor aláírja a kódot.

Ugrás az oldal tetejére

Kézi kód aláírás

Telepítse az eSigner CKA-t

A Telepítési mód kiválasztásakor válassza a lehetőséget Kézi kód aláírás majd kattintson az OK gombra.

Jelentkezzen be az eSigner CKA programba

Az eSigner CKA telepítése után nyissa meg a programot, és jelentkezzen be SSL.com-fiókja felhasználónevével és jelszavával.

Sikeres bejelentkezés után láthatja annak az entitásnak a nevét, akinek az EV kód aláíró tanúsítványt kiállították, a sorozatszámot, a lejárati dátumot és a EVCS (Extended Validation Code Signing) mozaikszó.

Írja be a parancssort a szövegszerkesztőbe

Emlékeztetni kell arra, hogy a kódaláírás parancssora a következőképpen néz ki: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" jel /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 tanúsítvány ujjlenyomat " Aláírható FÁJLÚT”

Miután beírta a parancssort a szövegszerkesztőbe, és megnyomta belép, látni fogja az üzenetet További üzlet hozzáadása kész. Ekkor megjelenik egy ablak, amelyben meg kell adnia SSL.com-fiókja felhasználónevét és jelszavát.

Írja be az egyszeri jelszót (OTP) 

Az eSigner által regisztrált EV-kód aláíró tanúsítványhoz tartozó egyszeri jelszót (OTP) elküldjük a Hitelesítő alkalmazásba. Sikeres bevitel esetén a Parancssor jelzi, hogy a fájl aláírása sikeresen megtörtént.

Ellenőrizze a digitális aláírást a fájlban

A sikeres kódaláírás után most már ellenőrizheti a digitális aláírás részleteit a fájlban. Kattintson a jobb gombbal az aláírt fájlra, majd kattintson Ingatlanok, majd a Digitális aláírások Tab. Itt láthatja az aláíró nevét, a használt kivonatoló algoritmust és az aláírás időbélyegét. Kattints a Részletek gombot, hogy további információkat kapjon az aláírt kódról.

Kattintás után Részletek, akkor el tudja majd olvasni az információt, amely szerint Ez a digitális aláírás rendben van. Folytassa a gombra kattintva Tanusítvány megtekintése gombot.

A kattintás után a Tanusítvány megtekintése gombot, akkor olyan információkat olvashat, amelyek arra utalnak, hogy az aláírt fájlhoz kiállított Digitális tanúsítvány biztosítja, hogy az a kiadótól érkezett, és védi a közzététel utáni módosítástól.

Ugrás az oldal tetejére

Automatizált kódaláírás

Telepítse az eSigner CKA-t

A Telepítési mód kiválasztásakor válassza a lehetőséget Automatizált kódaláírás majd kattintson az OK gombra.

Mentse el a mesterkulcs fájlt

Megjelenik egy megjegyzés, amely elmagyarázza a főkulcsfájl biztonságának fontosságát. Kérjük, olvassa el, majd kattintson az OK gombra.

Ekkor felugrik egy ablak, amelyben kiválaszthatja, hová mentse a mesterkulcsfájlt.

Írja be SSL.com-fiókja felhasználónevét és jelszavát

Adja meg SSL.com-fiókja felhasználónevét és jelszavát.

Írja be az eSigner-jét Időalapú egyszeri jelszó (TOTP)

Ezután adja meg időalapú egyszeri jelszavát (TOTP). A TOTP-t az EV Code Signing tanúsítvány megrendelésének részletei között találhatja meg SSL.com-fiókjában. Írja be a 4 számjegyű PIN-kódot, amelyet korábban beállított az eSignerhez történő megrendelésének regisztrálásakor, majd kattintson a QR-kód megjelenítése gombot a TOTP megjelenítéséhez.

A TOTP egy feliratú mezőben jelenik meg titkos kód. Másolja ki a TOTP-t, illessze be a TOTP titkos az eSigner CKA ablak mezőjére, majd kattintson a OK gombot a mentéshez. 

Miután megadta az SSL.com-fiókja hitelesítő adatait és a TOTP-t, megtekintheti az EV Code Signing tanúsítvány részleteit. Ha úgy dönt, hogy frissíti a TOTP-t, illessze be az új TOTP-t a kijelölt mezőbe, majd kattintson Megtakarítás.

Írja be a parancssort a szövegszerkesztőbe

Emlékeztetni kell arra, hogy a kódaláírás parancssora a következőképpen néz ki: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” jel /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 tanúsítvány ujjlenyomata „SIGNABLE FÁJL ELÉRÉSI ÚT"

Nyisd ki Parancssor és a helyezze el a parancssort. Az enter megnyomása után megjelenik a figyelmeztetés További üzlet hozzáadása kész.

Néhány másodperc múlva megjelenik az értesítés Sikeresen aláírva. Ez azt jelzi, hogy a fájlt automatizált módon írták alá, anélkül, hogy további egyszeri átvételi protokollokra lenne szükség. 

Ellenőrizze a digitális aláírás jelenlétét a fájlban

Nyissa meg az aláírt fájl mappájának helyét. Kattintson rá jobb gombbal, majd kattintson Ingatlanok. Kattintson a fülre Digitális aláírások és itt látni fogja, hogy a használt biztonságos hash algoritmus 256 bites. Kattintson az aláíró nevét, a kivonatoló algoritmust és az időbélyeget tartalmazó közvetlen mezőre. Miután kiemelte, kattintson a gombra Részletek gombot.

Ekkor megjelenik egy felugró ablak, amely jelzi, hogy a fájlon lévő digitális aláírás érvényes, valamint jelzi az aláírás időpontját. Kattints a Tanusítvány megtekintése gombot, hogy további információkat kapjon a kiadott EV Code Signing digitális tanúsítványról. 

Információkat fog látni az EV Code Signing tanúsítványról, amely kijelenti, hogy Önt érvényesíti a végrehajtható fájl létrehozójaként, és megvédi a fájlt a manipulációtól. 

Ugrás az oldal tetejére

Az eSigner CKA tesztelése a sandbox fiókkal

Telepítse az eSigner CKA-t

Válassza ki, hogy telepíti-e Kézikönyv or Automatizált üzemmód. 

****Vegye figyelembe, hogy ha az egyik módot választotta, újra kell telepítenie a programot, mielőtt a másik módban tesztelheti.*****

Nyissa meg az Appdata Roaming alkönyvtárát

 Az eSigner CKA teszteléséhez az SSL.com sandbox fiókjával, módosítania kell az alkalmazás beállításait az AppData mappa Roaming alkönyvtárában. Belép %App adatok% a Windows keresősávjában, hogy közvetlenül az AppData roaming alkönyvtárába kerüljön.

Nyissa meg az eSignert DATA fájl a szövegszerkesztővel

Nyissa meg a eSignerCKA mappát, keresse meg a fájlt esignerapp.data, kattintson rá a jobb gombbal, és válassza ki a fájl szerkesztését ebben az esetben a szövegszerkesztővel Notepad ++. 

A szövegszerkesztő megnyitásakor az alábbi értékkészletek láthatók.

Az értékkészleteket szétválaszthatja következő sorokra, hogy könnyebben szerkeszthetők legyenek. 

Kézi módú teszt aláírás

Kézi módban történő tesztaláíráshoz a következő értékeknek kell jelen lenniük:

1. Az ügyfélazonosítónak a következőnek kell lennie: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
2. hozzáad -próbáld ki az api_url-en
   Előtte: „api_url”:”https://cs.ssl.com/csc/v0/
   Utána: "api_url":"https://cs-próbáld meg.ssl.com/csc/v0/"
3. Cserélje Belépés val vel oauth-sandbox az auth_url oldalon
   Előtte: „auth_url”:”https://Belépés.ssl.com/oauth2/token”
   Utána: „auth_url”:”https://oauth-sandbox.ssl.com/oauth2/token”
4. "cred_mode": 0
5. „master_key”: null

Automatizált mód teszt aláírás

Automatizált módban történő tesztaláíráshoz a következő értékeknek kell jelen lenniük:

1. Az ügyfélazonosítónak a következőnek kell lennie: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
2. hozzáad -próbáld ki az api_url-en
   Előtte: „api_url”:”https://cs.ssl.com/csc/v0/
   Utána: "api_url":"https://cs-próbáld meg.ssl.com/csc/v0/"
3. Cserélje Belépés val vel oauth-sandbox az auth_url oldalon
   Előtte: „auth_url”:”https://Belépés.ssl.com/oauth2/token”
   Utána: „auth_url”:”https://oauth-sandbox.ssl.com/oauth2/token”
4. "cred_mode": 1
5. Cserélje null a master_key-n a saját fájl pontos elérési útjával mester kulcs fájlt.
   Amikor az eSigner CKA-t tesztelés céljából automatizált módban telepíti, meg kell adnia a sandbox-fiókjának bejelentkezési adatait. Ennek az az oka, hogy az automatikus kódaláírás során a bejelentkezési hitelesítő adatok a főkulccsal titkosítva vannak. Ha a telepítéskor megadja az éles bejelentkezési hitelesítő adatokat, és később egy automatizált tesztelési formátumot követően módosítja az esignerapp.data fájl értékeit, akkor nem tud teszteket végrehajtani, mert a megadott felhasználónév és jelszó nem található meg a sandbox tesztkörnyezetben.

Jelentkezzen be az eSigner CKA-ba az SSL.com sandbox-fiókjának hitelesítő adataival

Az értékek megváltoztatása után esignerapp.data, most már tesztelheti az EV-kód aláíró tanúsítványát a homokozóból az élő tanúsítványnál korábban ismertetett lépéseket követve.

Hardware Lab Kit (HLK) fájl aláírása az eSigner CKA és a HLKSigntool segítségével

A Hardware Lab Kit egy eszköz a kernel módú illesztőprogram tesztelésére és előkészítésére a Microsoftnak való benyújtásra. Jelenleg az eSigner CKA a HLKSigntool telepítését is megköveteli a Microsoft HLK szoftverében való használathoz. 

Az eSigner CKA-t először telepíteni és konfigurálni kell (a felhasználónak be kell jelentkeznie, és be kell állítania a TOTP-titkot) a HLKSignTool.exe futtatása előtt. 

1 lépés. Telepítse és konfigurálja az eSigner CKA-t

2 lépés. Használja a HLKSignTool-t az alábbi parancssorral

Parancs sor
HLKSignTool.exe tanúsítványsorozat „elérési_útja a fájlhoz”

Példa:

HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"

Hogyan írjunk alá VBA-makrókat az eSigner CKA használatával

Töltse le és telepítse a következő hivatkozás segítségével: Microsoft Office tárgyi interfész csomagok VBA-projektek digitális aláírásához a következő hivatkozás használatával: https://www.microsoft.com/en-us/download/details.aspx?id=56617

A telepítés után hajtsa végre a következő lépéseket:

1. Nyisson meg egy rendszergazdai parancssort, és írja be a következőt, az elérési út az lesz, ahová éppen telepítette a fájlokat:

   regsvr32.exe

   regsvr32.exe

   Az OLE-vezérlők regisztrálásával kapcsolatos további információkért látogasson el a webhelyre A Microsoft honlapja.

   Ha sikeres, megjelenik egy üzenet: „DIIRegister Server in sikerült."

2. Telepítse a következőket: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
3. Telepítse az eSigner CKA-t
4. Futtassa a SignTool parancsot a makrók aláírásához: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

.app fájlok aláírása az eSigner CKA segítségével

1. Letöltés Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113 
   Megjegyzés: Ha megpróbálja aláírni a .alkalmazás fájlt az eSigner CKA használatával a Microsoft előzetes telepítése nélkül A Dynamics 365 Business Central alkalmazásban a következő SignTool hibaüzenet jelenik meg: Ezt a fájlformátumot nem lehet aláírni, mert a rendszer nem ismeri fel.
2. Nyissa meg a Dynamics.365.BC.55195.US.DVD.zip és bontsa ki a tartalmat a kívánt helyre.
3. Nyisd ki setup.exe mert microsoft Dynamics 365 Business Central, majd kattintson a Tovább> gombot.
4. Olvassa el a Microsoft szoftverlicenc feltételeit, majd kattintson a gombra elfogadom > gombot.
5. A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a Speciális telepítési lehetőségek
6. Kattints Válasszon egy telepítési lehetőséget.
7. Válassza a szerver telepítési lehetőség.
8. Kattintson az alkalmaz gomb.
9. Várja meg, amíg a telepítés befejeződik. Sikeres telepítés után kattintson a közel gombot.
10. Írja alá .app fájlját a SignTool-on: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Hogyan írjunk alá vsix fájlt az eSigner CKA segítségével

1. Töltse le a Dotnet Core SDK-t: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
2. Telepítse az OpenVsixSignTool programot
   dotnet tool install -g OpenVsixSignTool
3. Használja ezt a jel parancsot:
   OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamp http://ts.ssl.com -ta sha256 -fd sha256 "SIGNABLE FILE PATH"
   

A Malware Scan használata az eSigner CKA-n

Utasítás:

1. Jelentkezzen be SSL.com fiókjába. Kattintson a rendelések fülre, majd a letöltés a tanúsítvány linkjét, hogy megjelenítse annak részleteit. Görgessen le a ALÁÍRÁSI IGAZOLÁS szakaszt, és keresse meg az eSigner tanúsítvány hitelesítő adatait mutató részt. Győződjön meg arról, hogy a rádiógombok azt mondják aláírási hitelesítő adat engedélyezve és a rosszindulatú programok blokkolása engedélyezve választják.
2. Telepítse az eSigner Cloud Key Adaptert.
3. Telepítse az eSigner CodeSignTool eszközt. Kattintson itt az eSigner CodeSignTool letöltéséhez.
4. Olvassa be a kódot a CodeSignTool-on a következő paranccsal: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
5. A Sign Tool segítségével írja alá a kódot az eSigner CKA-val a következő paranccsal: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

paraméterek:

• -input_file_path=<PATH>: Az aláírandó kódobjektum elérési útja.
• -username=<USERNAME>: SSL.com fiók felhasználóneve
• -password=<PASSWORD>: SSL.com fiók jelszava.
• -program_name=<PROGRAM_NAME>: A program neve
• -credential_id=<CREDENTIAL_ID>: Hitelesítési adat azonosító a tanúsítvány aláírásához. Az Ön eSigner hitelesítő azonosítója az Ön fiókjában található SSL.com tanúsítvány megrendelő oldala.