Firma del codice con Azure Key Vault

Questa guida è applicabile solo ai certificati di firma del codice IV e OV emessi prima del 1° giugno 2023. Dal 1 giugno 2023, i certificati di firma del codice di convalida dell'organizzazione (OV) e di convalida individuale (IV) di SSL.com sono stati emessi su token USB Federal Information Processing Standard 140-2 (FIPS 140-2) o tramite il nostro servizio di firma del codice cloud eSigner. Questa modifica è conforme con i nuovi requisiti di archiviazione delle chiavi del forum Certificate Authority/Browser (CA/B) per aumentare la sicurezza delle chiavi di firma del codice.

Questo tutorial ti mostrerà come firmare file dalla riga di comando di Windows con un certificato di firma del codice e una chiave privata archiviata in Azure Key Vault. Per seguire queste istruzioni avrai bisogno di:

Cos'è lo strumento di firma di Azure?

Strumento per la firma di Azure è un'utilità open source che offre SignTool funzionalità per certificati e chiavi archiviate in Azure Key Vault. È possibile installare lo strumento di firma di Azure con il comando seguente in Windows PowerShell (richiede SDK .NET):

dotnet tool install --global AzureSignTool

[/ Su_note]

Passaggio 1: registrare una nuova applicazione Azure

Innanzitutto, dovrai registrare una nuova applicazione Azure in modo da poterti connettere a Key Vault per la firma.

  1. Accedi al Portale di Azure.
    Accedi ad Azure
  2. Spostarsi Directory attiva di Azure. (Clic Più servizi se l'icona di Azure Active Directory non è visibile.)
    Directory attiva di Azure
  3. Clicchi Registrazioni app, nella colonna di sinistra.
    Registrazioni di app
  4. Clicchi Nuova registrazione.
    Nuova registrazione
  5. Dai alla tua domanda un file Nome e fare clic sul Registrati pulsante. Lascia le altre impostazioni ai valori predefiniti.
    Registrazione dell'applicazione
  6. La tua nuova applicazione è stata registrata. Copia e salva il valore mostrato per ID dell'applicazione (client), perché ne avrai bisogno in seguito.
    ID dell'applicazione (client)
  7. Clicchi Autenticazione.
    Autenticazione
  8. Sotto Impostazioni avanzate, impostato Consenti flussi client pubblici a Yes.
    Consenti flussi client pubblici
  9. Clicchi Risparmi.
    Risparmi

Passaggio 2: creare un segreto client

Quindi, genera un segreto client, che servirà come credenziale durante la firma.

  1. Clicchi Certificati e segreti nel menu a sinistra.
    Certificati e segreti
  2. Clicchi Nuovo segreto del cliente.
    Nuovo segreto del cliente
  3. Dai al tuo cliente un segreto Descrizione, impostare la scadenza come desiderato e fare clic su Aggiungi pulsante.
    Aggiungi segreto client
  4. copiare il Valore del tuo nuovo segreto cliente subito e conservalo in un luogo sicuro. Al successivo aggiornamento della pagina, questo valore sarà mascherato e non sarà più recuperabile.
    copia valore segreto

Passaggio 3: abilitare l'accesso in Key Vault

Ora dovrai abilitare l'accesso per la tua applicazione in Azure Key Vault.

  1. Passare al Key Vault contenente il certificato che si desidera utilizzare per la firma e fare clic su Criteri di accesso collegamento.
    Criteri di accesso
  2. Clicchi Aggiungi politica di accesso.
    Aggiungi politica di accesso
  3. Sotto Autorizzazioni chiave, abilitare Sign.
    Abilita il segno in Autorizzazioni chiave
  4. Sotto Autorizzazioni del certificato, abilitare Get.
    Abilita Ottieni sotto Autorizzazioni certificato
  5. Clicca su Nessuno selezionato link, sotto Seleziona preside, quindi utilizza il campo di ricerca per individuare e selezionare l'applicazione creata nella sezione precedente.
    Seleziona preside
  6. Clicca su Seleziona pulsante.
    Seleziona
  7. Clicca su Aggiungi pulsante.
    Aggiungi
  8. Clicchi Risparmi.
    Risparmi
  9. La tua politica di accesso è impostata e sei pronto per iniziare a firmare i file.
    Politica di accesso terminata

Passaggio 4: firma un file

Ora sei finalmente pronto per firmare un codice!

  1. Avrai bisogno delle seguenti informazioni disponibili:
    • Trasferimento da aeroporto a Sharm URI dell'insieme di credenziali delle chiavi (disponibile nel portale di Azure):
      URI dell'insieme di credenziali delle chiavi
    • Il nome amichevole del certificato in Key Vault:
      Nome del certificato
    • Il ID dell'applicazione (client) valore dalla tua applicazione Azure:
      ID dell'applicazione (client)
    • Il segreto shopper hai generato sopra:
      copia valore segreto
  2. Di seguito è riportato un comando di esempio in PowerShell per firmare e contrassegnare un file con lo strumento di firma di Azure. Sostituisci i valori in TUTTO MAIUSCOLO con le tue informazioni effettive:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PERCORSO ESEGUIBILE
    Nota: Per impostazione predefinita, SSL.com supporta i timestamp delle chiavi ECDSA.

    Se riscontri questo errore: The timestamp certificate does not meet a minimum public key length requirement, è necessario contattare il fornitore del software per consentire i timestamp dalle chiavi ECDSA.

    Se non è possibile per il tuo fornitore di software consentire l'utilizzo dell'endpoint normale, puoi utilizzare questo endpoint legacy http://ts.ssl.com/legacy per ottenere un timestamp da un'unità di timestamp RSA.
  3. Se la firma ha successo, dovresti vedere un output come il seguente (la firma non riuscita non produrrà alcun output):
    info: AzureSignTool.Program [0] => File: test.exe File di firma test.exe info: AzureSignTool.Program [0] => File: test.exe Firma completata con successo per il file test.exe. info PS C: \ Users \ Aaron Russell \ Desktop>
  4. I dettagli sulla nuova firma digitale saranno disponibili nelle proprietà del file:
    Dettagli della firma digitale
Nota: L'autore di Azure Sign Tool ha anche fornito un file walkthrough per l'utilizzo dello strumento con Azure DevOps.

SSL.com's EV Firma del codice i certificati aiutano a proteggere il tuo codice da manomissioni e compromissioni non autorizzate con il massimo livello di convalida e sono disponibili a partire da $ 249 all'anno. È anche possibile usa il tuo certificato EV Code Signing su larga scala nel cloud utilizzando eSigner. Con la sua opzione automatizzata, eSigner è adatto per la firma di codici aziendali.

ORDINA ORA

Iscriviti alla newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.