Firma del codice con Azure Key Vault

Questo tutorial ti mostrerà come firmare file dalla riga di comando di Windows con un certificato di firma del codice e una chiave privata archiviata in Azure Key Vault. Per seguire queste istruzioni avrai bisogno di:

• An Account Azure
• A Cassaforte delle chiavi
• A certificato di firma del codice installato in Key Vault. Puoi:
  • Genera a CSR e installare un certificato in Key Vault or
  • Importa un certificato in Key Vault
• Strumento per la firma di Azure installato sul computer che utilizzerai per la firma

Cos'è lo strumento di firma di Azure?

Strumento per la firma di Azure è un'utilità open source che offre SignTool funzionalità per certificati e chiavi archiviate in Azure Key Vault. È possibile installare lo strumento di firma di Azure con il comando seguente in Windows PowerShell (richiede SDK .NET):

dotnet tool install --global AzureSignTool

Passaggio 1: registrare una nuova applicazione Azure

Innanzitutto, dovrai registrare una nuova applicazione Azure in modo da poterti connettere a Key Vault per la firma.

1. Accedi al Portale di Azure.
   
2. Spostarsi Directory attiva di Azure. (Clic Più servizi se l'icona di Azure Active Directory non è visibile.)
   
3. Clicchi Registrazioni app, nella colonna di sinistra.
   
4. Clicchi Nuova registrazione.
   
5. Dai alla tua domanda un file Nome e fare clic sul Registrati pulsante. Lascia le altre impostazioni ai valori predefiniti.
   
6. La tua nuova applicazione è stata registrata. Copia e salva il valore mostrato per ID dell'applicazione (client), perché ne avrai bisogno in seguito.
   
7. Clicchi Autenticazione.
   
8. Sotto Impostazioni avanzate, impostato Consenti flussi client pubblici a Yes.
   
9. Clicchi Risparmi.
   

Passaggio 2: creare un segreto client

Quindi, genera un segreto client, che servirà come credenziale durante la firma.

1. Clicchi Certificati e segreti nel menu a sinistra.
   
2. Clicchi Nuovo segreto del cliente.
   
3. Dai al tuo cliente un segreto Descrizione, impostare la scadenza come desiderato e fare clic su Aggiungi pulsante.
   
4. copiare il Valore del tuo nuovo segreto cliente subito e conservalo in un luogo sicuro. Al successivo aggiornamento della pagina, questo valore sarà mascherato e non sarà più recuperabile.
   

Passaggio 3: abilitare l'accesso in Key Vault

Ora dovrai abilitare l'accesso per la tua applicazione in Azure Key Vault.

1. Passare al Key Vault contenente il certificato che si desidera utilizzare per la firma e fare clic su Criteri di accesso collegamento.
   
2. Clicchi Aggiungi politica di accesso.
   
3. Sotto Autorizzazioni chiave, abilitare Sign.
   
4. Sotto Autorizzazioni del certificato, abilitare Get.
   
5. Clicca su Nessuno selezionato link, sotto Seleziona preside, quindi utilizza il campo di ricerca per individuare e selezionare l'applicazione creata nella sezione precedente.
   
6. Clicca su Seleziona pulsante.
   
7. Clicca su Aggiungi pulsante.
   
8. Clicchi Risparmi.
   
9. La tua politica di accesso è impostata e sei pronto per iniziare a firmare i file.
   

Passaggio 4: firma un file

Ora sei finalmente pronto per firmare un codice!

1. Avrai bisogno delle seguenti informazioni disponibili:
   • Trasferimento da aeroporto a Sharm URI dell'insieme di credenziali delle chiavi (disponibile nel portale di Azure):
     
   • I nome amichevole del certificato in Key Vault:
     
   • I ID dell'applicazione (client) valore dalla tua applicazione Azure:
     
   • I segreto shopper hai generato sopra:
     
2. Di seguito è riportato un comando di esempio in PowerShell per firmare e contrassegnare un file con lo strumento di firma di Azure. Sostituisci i valori in TUTTO MAIUSCOLO con le tue informazioni effettive:

   azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PERCORSO ESEGUIBILE

   Nota: Per impostazione predefinita, SSL.com supporta i timestamp delle chiavi ECDSA.
   
   Se riscontri questo errore: The timestamp certificate does not meet a minimum public key length requirement, è necessario contattare il fornitore del software per consentire i timestamp dalle chiavi ECDSA.
   
   Se non è possibile per il tuo fornitore di software consentire l'utilizzo dell'endpoint normale, puoi utilizzare questo endpoint legacy http://ts.ssl.com/legacy per ottenere un timestamp da un'unità di timestamp RSA.
3. Se la firma ha successo, dovresti vedere un output come il seguente (la firma non riuscita non produrrà alcun output):

   info: AzureSignTool.Program [0] => File: test.exe File di firma test.exe info: AzureSignTool.Program [0] => File: test.exe Firma completata con successo per il file test.exe. info PS C: \ Users \ Aaron Russell \ Desktop>

4. I dettagli sulla nuova firma digitale saranno disponibili nelle proprietà del file: