SSL.com

Firma del codice con Azure Key Vault

Team di supporto SSL.com

Questa guida è applicabile solo ai certificati di firma del codice IV e OV emessi prima del 1° giugno 2023. Dal 1 giugno 2023, i certificati di firma del codice di convalida dell'organizzazione (OV) e di convalida individuale (IV) di SSL.com sono stati emessi su token USB Federal Information Processing Standard 140-2 (FIPS 140-2) o tramite il nostro servizio di firma del codice cloud eSigner. Questa modifica è conforme con i nuovi requisiti di archiviazione delle chiavi del forum Certificate Authority/Browser (CA/B) per aumentare la sicurezza delle chiavi di firma del codice.

Questo tutorial ti mostrerà come firmare file dalla riga di comando di Windows con un certificato di firma del codice e una chiave privata archiviata in Azure Key Vault. Per seguire queste istruzioni avrai bisogno di:

Cos'è lo strumento di firma di Azure?

Strumento per la firma di Azure è un'utilità open source che offre SignTool funzionalità per certificati e chiavi archiviate in Azure Key Vault. È possibile installare lo strumento di firma di Azure con il comando seguente in Windows PowerShell (richiede SDK .NET):

dotnet tool install --global AzureSignTool

[/ Su_note]

Passaggio 1: registrare una nuova applicazione Azure

Innanzitutto, dovrai registrare una nuova applicazione Azure in modo da poterti connettere a Key Vault per la firma.

  1. Accedi al Portale di Azure.
    Accedi ad Azure
  2. Spostarsi Directory attiva di Azure. (Clic Più servizi se l'icona di Azure Active Directory non è visibile.)
  3. Clicchi Registrazioni app, nella colonna di sinistra.
  4. Clicchi Nuova registrazione.
  5. Dai alla tua domanda un file Nome e fare clic sul Registrati pulsante. Lascia le altre impostazioni ai valori predefiniti.
  6. La tua nuova applicazione è stata registrata. Copia e salva il valore mostrato per ID dell'applicazione (client), perché ne avrai bisogno in seguito.
  7. Clicchi Autenticazione.
  8. Sotto Impostazioni avanzate, impostato Consenti flussi client pubblici a Yes.
  9. Clicchi Risparmi.
Inizio pagina

Passaggio 2: creare un segreto client

Quindi, genera un segreto client, che servirà come credenziale durante la firma.

  1. Clicchi Certificati e segreti nel menu a sinistra.
  2. Clicchi Nuovo segreto del cliente.
  3. Dai al tuo cliente un segreto Descrizione, impostare la scadenza come desiderato e fare clic su Aggiungi pulsante.
  4. copiare il Valore del tuo nuovo segreto cliente subito e conservalo in un luogo sicuro. Al successivo aggiornamento della pagina, questo valore sarà mascherato e non sarà più recuperabile.
Inizio pagina

Passaggio 3: abilitare l'accesso in Key Vault

Ora dovrai abilitare l'accesso per la tua applicazione in Azure Key Vault.

  1. Passare al Key Vault contenente il certificato che si desidera utilizzare per la firma e fare clic su Criteri di accesso collegamento.
  2. Clicchi Aggiungi politica di accesso.
  3. Sotto Autorizzazioni chiave, abilitare Sign.
  4. Sotto Autorizzazioni del certificato, abilitare Get.
  5. Clicca su Nessuno selezionato link, sotto Seleziona preside, quindi utilizza il campo di ricerca per individuare e selezionare l'applicazione creata nella sezione precedente.
  6. Clicca su Seleziona pulsante.
  7. Clicca su Aggiungi pulsante.
  8. Clicchi Risparmi.
  9. La tua politica di accesso è impostata e sei pronto per iniziare a firmare i file.
Inizio pagina

Passaggio 4: firma un file

Ora sei finalmente pronto per firmare un codice!

  1. Avrai bisogno delle seguenti informazioni disponibili:
    • Trasferimento da aeroporto a Sharm URI dell'insieme di credenziali delle chiavi (disponibile nel portale di Azure):
    • I nome amichevole del certificato in Key Vault:
    • I ID dell'applicazione (client) valore dalla tua applicazione Azure:
    • I segreto shopper hai generato sopra:
  2. Di seguito è riportato un comando di esempio in PowerShell per firmare e contrassegnare un file con lo strumento di firma di Azure. Sostituisci i valori in TUTTO MAIUSCOLO con le tue informazioni effettive: 
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PERCORSO ESEGUIBILE
    Nota: Per impostazione predefinita, SSL.com supporta i timestamp delle chiavi ECDSA.

    Se riscontri questo errore: The timestamp certificate does not meet a minimum public key length requirement, è necessario contattare il fornitore del software per consentire i timestamp dalle chiavi ECDSA.

    Se non è possibile per il tuo fornitore di software consentire l'utilizzo dell'endpoint normale, puoi utilizzare questo endpoint legacy http://ts.ssl.com/legacy per ottenere un timestamp da un'unità di timestamp RSA.
  3. Se la firma ha successo, dovresti vedere un output come il seguente (la firma non riuscita non produrrà alcun output): 
    info: AzureSignTool.Program [0] => File: test.exe File di firma test.exe info: AzureSignTool.Program [0] => File: test.exe Firma completata con successo per il file test.exe. info PS C: \ Users \ Aaron Russell \ Desktop>
  4. I dettagli sulla nuova firma digitale saranno disponibili nelle proprietà del file:
Nota: L'autore di Azure Sign Tool ha anche fornito un file walkthrough per l'utilizzo dello strumento con Azure DevOps.

SSL.com's EV Firma del codice i certificati aiutano a proteggere il tuo codice da manomissioni e compromissioni non autorizzate con il massimo livello di convalida e sono disponibili a partire da $ 249 all'anno. È anche possibile usa il tuo certificato EV Code Signing su larga scala nel cloud utilizzando eSigner. Con la sua opzione automatizzata, eSigner è adatto per la firma di codici aziendali.

ORDINA ORA

Esci dalla versione mobile