Cara Mengotomatiskan Penandatanganan Kode EV dengan SignTool.exe atau Certutil.exe Menggunakan eSigner CKA (Cloud Key Adapter)

Panduan ini menunjukkan cara menginstal eSigner CKA dan menggunakannya untuk penandatanganan kode otomatis dan manual di SignTool. 

eSigner CKA (Adaptor Kunci Cloud) adalah aplikasi berbasis Windows yang menggunakan antarmuka CNG (Penyedia Layanan Kunci KSP) untuk memungkinkan alat seperti certutil.exe dan signtool.exe menggunakan API yang sesuai dengan eSigner Cloud Signature Consortium (CSC) untuk operasi penandatanganan kode perusahaan. Kerjanya seperti token USB virtual dan memuat sertifikat penandatanganan kode ke penyimpanan sertifikat.

eSigner CKA memungkinkan opsi fleksibel untuk mengotomatiskan penandatanganan dalam proses CI/CD yang tidak ada dengan token USB fisik. Untuk panduan tentang cara menggunakan eSigner CKA untuk penandatanganan kode otomatis di alat CI/CD termasuk CircleCI, GitHub Actions, Gitlab CI, dan Travis CI, silakan kunjungi halaman ini: Cara Mengintegrasikan CKA eSigner dengan Alat CI/CD untuk Penandatanganan Kode Otomatis.

CATATAN 

Bahan ajar ini membutuhkan hal-hal berikut: 

  1. Menerbitkan sertifikat Penandatanganan Kode EV. 
  2. Sertifikat Penandatanganan Kode EV harus saat ini terdaftar di eSigner. Jika ini bukan masalahnya, silakan lihat ini artikel panduan
  3. Aplikasi autentikator yang terpasang di ponsel Anda seperti aplikasi autentikator Google.

 

Pengguna dapat menandatangani kode dengan kemampuan Extended Validation Code Signing eSigner. Klik di bawah ini untuk informasi lebih lanjut.

PELAJARI LEBIH LANJUT

Formulasikan Baris Perintah

Komponen Baris Perintah

Untuk penandatanganan kode manual dan otomatis, Anda perlu mengetikkan baris perintah pada editor teks Anda, seperti: command Prompt. Baris perintah berisi:

  1. Lokasi SignTool (alat baris perintah yang bertanggung jawab untuk menandatangani file secara digital dan memverifikasi tanda tangan), diapit dalam tanda kutip ganda: “C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe”
  2. /fd sha256 opsi yang menentukan Algoritma Hash
  3. /tr http://ts.ssl.com opsi yang menentukan alamat server cap waktu
  4. /td sha256 opsi yang menentukan algoritma intisari cap waktu
  5. /sha1 opsi yang menentukan cap jempol yang digunakan SignTool untuk menemukan sertifikat penandatanganan kode yang sesuai dari penyimpanan kunci
  6. Sidik jari sertifikat yang sebenarnya
  7. Path file yang akan ditandatangani, diapit tanda kutip ganda: “SIGNABLE FILE PATH”

Secara keseluruhan baris perintah akan terlihat seperti berikut: 

“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” tanda /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat cap jempol “ JALUR FILE YANG DAPAT DITANDATANGANI”

Catatan: Secara default, SSL.com mendukung stempel waktu dari kunci ECDSA.

Jika Anda mengalami kesalahan ini: The timestamp certificate does not meet a minimum public key length requirement, Anda harus menghubungi vendor perangkat lunak untuk mengizinkan stempel waktu dari kunci ECDSA.

Jika tidak ada cara bagi vendor perangkat lunak Anda untuk mengizinkan penggunaan titik akhir normal, Anda dapat menggunakan titik akhir warisan ini http://ts.ssl.com/legacy untuk mendapatkan stempel waktu dari Unit Stempel Waktu RSA.

Menemukan Sidik Jari Sertifikat Anda

Kemudian, setelah menginstal eSigner CKA dan menambahkan sertifikat Penandatanganan Kode EV Anda ke Toko Sertifikat Pengguna, Anda akan dapat memeriksa cap jempol sertifikat Penandatanganan Kode EV Anda dengan menekan Tombol Windows + R lalu ketik certmgr.msc untuk mengakses penyimpanan Sertifikat Pengguna. Ketika jendela manajer sertifikat muncul, klik tombol Pribadi folder di panel kiri dan kemudian pilih sertifikat subfolder di sebelah kanan untuk menemukan sertifikat Penandatanganan Kode EV Anda.

Klik dua kali sertifikat. Pilih Detailnya tab dan kemudian gulir ke bawah untuk mengungkapkan Sidik Jari. Salin Sidik Jari dan sertakan ke baris perintah Anda saat Anda menandatangani kode.

Penandatanganan Kode Manual

Instal eSigner CKA

Saat memilih mode Instalasi, pilih Penandatanganan Kode Manual dan kemudian klik tombol OK.

Masuk ke program eSigner CKA

Setelah menginstal eSigner CKA, buka program dan login menggunakan username dan password akun SSL.com Anda.

Setelah login berhasil, Anda akan dapat melihat nama entitas yang mengeluarkan sertifikat penandatanganan kode EV, nomor seri, tanggal kedaluwarsa, dan EVCS (Penandatanganan Kode Validasi Diperpanjang) akronim.

Tulis Baris Perintah di Editor Teks

Untuk mengingat kembali, baris perintah untuk penandatanganan kode terlihat seperti berikut: 

“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” tanda /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat cap jempol “ JALUR FILE YANG DAPAT DITANDATANGANI”

Setelah menulis baris perintah pada editor teks Anda dan menekan Enter, Anda akan melihat pesannya Selesai Menambahkan Toko Tambahan. Sebuah jendela kemudian akan muncul yang mengharuskan Anda untuk memasukkan nama pengguna dan kata sandi akun SSL.com Anda.

Masukkan One Time Password (OTP) 

Kata Sandi Satu Kali (OTP) untuk Sertifikat Penandatanganan Kode EV yang terdaftar di eSigner akan dikirim ke aplikasi Authenticator Anda. Setelah input berhasil, Command Prompt akan menunjukkan bahwa file Anda telah berhasil ditandatangani.

Periksa Tanda Tangan Digital pada File

Setelah penandatanganan kode berhasil, Anda sekarang dapat memeriksa detail tanda tangan digital pada file. Klik kanan file yang ditandatangani, klik Properties, diikuti oleh Tanda Tangan Digital tab. Di sini Anda akan melihat nama Penandatangan, algoritma intisari yang digunakan, dan stempel waktu tanda tangan. Klik Rincian tombol untuk mendapatkan informasi lebih lanjut tentang kode yang ditandatangani.

Setelah mengklik Rincian, Anda akan dapat membaca informasi yang menyatakan Tanda tangan digital ini OK. Lanjutkan dengan mengklik Lihat Sertifikat .

Setelah mengklik Lihat Sertifikat tombol, Anda akan membaca informasi yang menunjukkan bahwa Sertifikat Digital yang dikeluarkan untuk file yang ditandatangani memastikan bahwa itu berasal dari penerbit dan melindunginya dari perubahan setelah publikasi.

Penandatanganan Kode Otomatis

Instal eSigner CKA

Saat memilih mode Instalasi, pilih Penandatanganan Kode Otomatis dan kemudian klik tombol OK.

Simpan File Kunci Utama

Sebuah catatan akan muncul menjelaskan pentingnya mengamankan File Master Key. Silakan baca dan kemudian klik tombol OK.

Sebuah jendela kemudian akan muncul memungkinkan Anda untuk memilih di mana Anda akan menyimpan File Master Key.

Ketik nama pengguna dan kata sandi akun SSL.com Anda

Masukkan nama pengguna dan kata sandi akun SSL.com Anda.

Ketikkan eSigner Anda Kata Sandi Sekali Pakai Berbasis Waktu (TOTP)

Kemudian masukkan Kata Sandi Satu Kali Berbasis Waktu (TOTP) Anda. Anda dapat menemukan TOTP Anda termasuk dalam detail pesanan sertifikat Penandatanganan Kode EV di akun SSL.com Anda. Ketik PIN 4 digit yang telah Anda tetapkan sebelumnya saat mendaftarkan pesanan untuk eSigner, lalu klik tombol Tunjukkan Kode QR tombol untuk mengungkapkan TOTP.

TOTP Anda akan ditampilkan pada kotak berlabel Kode rahasia. Salin TOTP, tempel di Rahasia TOTP bidang jendela eSigner CKA dan kemudian klik OK tombol untuk menyimpannya 

Setelah memasukkan kredensial akun SSL.com dan TOTP Anda, Anda akan dapat melihat detail sertifikat Penandatanganan Kode EV Anda. Jika Anda memutuskan untuk memperbarui TOTP Anda, rekatkan TOTP baru di bidang yang ditentukan lalu klik Simpan.

Tulis Baris Perintah di Editor Teks

Untuk mengingat kembali, baris perintah untuk penandatanganan kode terlihat seperti berikut: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tanda /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat cap jempol "SIGNABLE JALAN FILE”

Open command Prompt dan tempatkan baris perintah. Setelah menekan enter, Anda akan melihat pemberitahuan mengatakan Selesai Menambahkan Toko Tambahan.

Setelah beberapa detik, Anda akan melihat pemberitahuan Berhasil menandatangani. Ini menunjukkan bahwa file Anda telah ditandatangani secara otomatis, tanpa memerlukan OTP tambahan. 

Periksa keberadaan tanda tangan digital pada file Anda

Buka lokasi folder file yang Anda tanda tangani. Klik kanan dan kemudian klik Properties. Klik pada tab Tanda Tangan Digital dan di sini Anda akan melihat algoritma hash aman yang digunakan memiliki 256 bit. Klik ruang langsung yang menunjukkan nama penandatangan, algoritme intisari, dan stempel waktu. Setelah disorot, lanjutkan dengan mengklik Rincian .

Sebuah jendela pop-up kemudian akan menunjukkan bahwa tanda tangan digital pada file tersebut valid serta menunjukkan waktu tertentu ketika itu ditandatangani. Klik Lihat Sertifikat tombol untuk melihat informasi lebih lanjut tentang sertifikat digital EV Code Signing yang diterbitkan. 

Anda akan melihat informasi tentang sertifikat Penandatanganan Kode EV yang menyatakan bahwa sertifikat tersebut memvalidasi Anda sebagai pembuat file yang dapat dieksekusi dan melindungi file Anda agar tidak dirusak. 

Cara menguji eSigner CKA dengan akun kotak pasir Anda

Instal eSigner CKA

Pilih apakah akan menginstalnya di panduan or Otomatis mode

****Perhatikan bahwa jika Anda telah memilih satu mode, Anda harus menginstal ulang program sebelum dapat mengujinya di mode lain.****

Buka subdirektori Roaming dari Appdata

 Untuk menguji eSigner CKA menggunakan akun sandbox SSL.com Anda, Anda harus mengubah pengaturan aplikasi pada subdirektori Roaming dari folder AppData. Memasuki %Data aplikasi% pada bilah pencarian Windows untuk membawa Anda langsung ke subdirektori jelajah AppData.

Buka eSigner berkas DATA dengan editor teks Anda

Buka Penandatangan eCKA folder, cari file designerapp.data, klik kanan dan pilih opsi untuk mengedit file menggunakan editor teks Anda, dalam hal ini Notepad ++

Saat membuka editor teks, Anda akan melihat kumpulan nilai di bawah ini.

Anda dapat memisahkan kumpulan nilai ke dalam baris berikutnya sehingga lebih mudah untuk diedit. 

Penandatanganan uji mode manual

Untuk uji masuk dalam mode Manual, nilai berikut harus ada:

  1. ID klien harus: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Add -mencoba di api_url
    Sebelum: “api_url”:”https://cs.ssl.com/csc/v0/
    Setelah: “api_url”:”https://cs-coba.ssl.com/csc/v0/"
  3. menggantikan masuk dengan oauth-kotak pasir di auth_url
    Sebelum: “auth_url”:”https://masuk.ssl.com/oauth2/token”
    Setelah: “auth_url”:”https://oauth-kotak pasir.ssl.com/oauth2/token”
  4. “mode_kredit”: 0
  5. "master_key": nol

Penandatanganan uji mode otomatis

Untuk uji masuk dalam mode Otomatis, nilai berikut harus ada:

  1. ID klien harus: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Add -mencoba di api_url
    Sebelum: “api_url”:”https://cs.ssl.com/csc/v0/
    Setelah: “api_url”:”https://cs-coba.ssl.com/csc/v0/"
  3. menggantikan masuk dengan oauth-kotak pasir di auth_url
    Sebelum: “auth_url”:”https://masuk.ssl.com/oauth2/token”
    Setelah: “auth_url”:”https://oauth-kotak pasir.ssl.com/oauth2/token”
  4. “mode_kredit”: 1
  5. menggantikan nol pada master_key dengan jalur file yang tepat dari . Anda kunci utama file.
    Saat menginstal eSigner CKA dalam mode otomatis untuk tujuan pengujian, Anda harus memberikan kredensial login akun sandbox Anda. Alasannya adalah karena dalam penandatanganan kode otomatis, kredensial login dienkripsi menggunakan kunci Master. Jika Anda memasukkan kredensial login produksi saat penginstalan dan kemudian mengubah nilai pada file esignerapp.data mengikuti format pengujian otomatis, Anda tidak akan dapat melakukan pengujian karena nama pengguna dan sandi yang Anda berikan tidak ada di lingkungan pengujian kotak pasir.

Login ke eSigner CKA menggunakan kredensial akun sandbox SSL.com Anda

Setelah mengubah nilai pada designerapp.data, Anda sekarang dapat menguji sertifikat penandatanganan kode EV Anda dari kotak pasir Anda mengikuti langkah-langkah yang sama yang diuraikan sebelumnya untuk sertifikat langsung.

Cara Menandatangani file Hardware Lab Kit (HLK) menggunakan eSigner CKA dan HLKSigntool

Hardware Lab Kit adalah alat untuk menguji dan menyiapkan driver mode kernel untuk dikirimkan ke Microsoft. Saat ini eSigner CKA juga membutuhkan HLKSigntool untuk diinstal agar dapat digunakan dalam perangkat lunak HLK Microsoft 

eSigner CKA harus diinstal dan dikonfigurasi terlebih dahulu (pengguna login, dan kumpulan rahasia TOTP) sebelum menjalankan HLKSignTool.exe. 

Langkah 1. Instal dan konfigurasikan eSigner CKA

Langkah 2. Gunakan HLKSignTool dengan baris perintah di bawah ini

Garis komando
HLKSignTool.exe certificate_serial "path_to_file"

Contoh:

HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"

Cara menandatangani Makro VBA menggunakan eSigner CKA

Unduh dan instal menggunakan tautan ini Paket Antarmuka Subjek Microsoft Office untuk Proyek VBA yang Menandatangani Secara Digital menggunakan tautan ini: https://www.microsoft.com/en-us/download/details.aspx?id=56617

Catatan: Beberapa pengguna mungkin mengalami kegagalan dalam penandatanganan karena VBA menawarkan hash kode SHA1 untuk dikirim ke eSigner tetapi eSigner memerlukan SHA256 atau lebih tinggi. Untuk mengatasi hal ini. Microsoft merekomendasikan hal berikut:

Anda dapat menambahkan DWORD nilai kunci registri V1Hash Ditingkatkan untuk memilih algoritma hash lain, di bawah HKCU\PERANGKAT LUNAK\Microsoft\VBA\Keamanan dengan aturan algoritma nilai (1 hingga SHA1, 2 hingga SHA256, 3 hingga SHA384, 4 hingga SHA512).

Setelah terinstal, lakukan langkah-langkah berikut:

  1. Buka prompt perintah administrator dan ketik yang berikut ini, jalurnya adalah tempat Anda baru saja menginstal file:

    regsvr32.exe

    regsvr32.exe

    Untuk informasi lebih lanjut tentang cara mendaftarkan kontrol OLE, kunjungi Situs web Microsoft.

    Jika berhasil, Anda akan melihat pesan: “DIIRegister Server in berhasil.”

  2. Pasang yang berikut ini: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
  3. Instal eSigner CKA
  4. Jalankan perintah SignTool untuk menandatangani makro: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Cara Menandatangani file .app menggunakan eSigner CKA

  1. Unduh Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113 
    Catatan: Jika Anda mencoba menandatangani a .aplikasi file menggunakan eSigner CKA tanpa menginstal Microsoft terlebih dahulu Aplikasi Dynamics 365 Business Central, Anda akan mendapatkan kesalahan SignTool ini: Format file ini tidak dapat ditandatangani karena tidak dikenali.
  2. Buka Dynamics.365.BC.55195.US.DVD.zip dan ekstrak isinya ke lokasi pilihan Anda.
  3. Open setup.exe untuk Microsoft Dynamics 365 Business Central dan klik Selanjutnya> .
  4. Baca Ketentuan Lisensi Perangkat Lunak Microsoft lalu klik Saya menerima > .
  5. Pilih Opsi instalasi lanjutan
  6. Klik Pilih opsi instalasi.
  7. Pilih Server opsi instalasi.
  8. klik Mendaftar tombol.
  9. Tunggu hingga instalasi selesai. Setelah instalasi berhasil, klik Penyelesaian .
  10. Tanda tangani file .app Anda di SignTool: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Cara Menandatangani file vsix menggunakan eSigner CKA

  1. Unduh Dotnet Inti SDK: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
  2. Instal OpenVsixSignTool
    dotnet tool install -g OpenVsixSignTool
  3. Gunakan perintah tanda ini:
    OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamp http://ts.ssl.com -ta sha256 -fd sha256 "SIGNABLE FILE PATH"

Cara Menggunakan Pemindaian Malware di eSigner CKA

petunjuk:

  1. Masuk ke akun SSL.com Anda. Klik tab pesanan diikuti oleh Download tautan sertifikat Anda untuk menampilkan detailnya. Gulir ke bawah ke PENANDATANGANAN KREDENSIAL bagian dan temukan bagian yang menunjukkan kredensial sertifikat eSigner Anda. Pastikan bahwa tombol radio yang mengatakan penandatanganan kredensial diaktifkan dan pemblokir malware diaktifkan dipilih.
  2. Instal Adaptor Kunci Cloud eSigner.
  3. Instal eSigner CodeSignTool. Klik di sini untuk mengunduh eSigner CodeSignTool.
  4. Pindai kode pada CodeSignTool menggunakan perintah berikut: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Gunakan Sign Tool untuk menandatangani kode dengan eSigner CKA menggunakan perintah berikut: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parameter:

  • -input_file_path=<PATH>: Jalur objek kode yang akan ditandatangani.
  • -username=<USERNAME>SSL.com username akun
  • -password=<PASSWORD>SSL.com kata sandi akun.
  • -program_name=<PROGRAM_NAME>: Nama program
  • -credential_id=<CREDENTIAL_ID>: ID Kredensial untuk menandatangani sertifikat. ID Kredensial eSigner Anda terletak di SSL.com halaman pemesanan sertifikat.

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.