eSigner CKA (クラウド キー アダプター) を使用して SignTool.exe または Certutil.exe で EV コード署名を自動化する方法

eSigner CKA(クラウドキーアダプター) は、CNG インターフェイス (KSP キー サービス プロバイダー) を使用して、certutil.exe や signtool.exe などのツールが署名操作に eSigner CSC API を使用できるようにする Windows ベースのアプリケーションです。仮想 USB トークンのように動作し、コード署名証明書を証明書ストアに読み込みます。 この機能により、物理的な USB トークンでは存在しない CI/CD プロセスでの署名を自動化するオプションが提供され、eSigner 証明書の柔軟性が向上します。

このガイドでは、実稼働証明書またはテスト証明書を使用して、Windows SignTool で手動および自動のコード署名を実行する方法を説明します。 

注: eSigner CKA を使用すると、物理的な USB トークンでは実現できない CI/CD プロセスでの署名を自動化する柔軟なオプションが実現します。CircleCI、GitHub Actions、Gitlab CI、Travis CI などの CI/CD ツールで自動コード署名を行うために eSigner CKA を使用する方法については、次のページをご覧ください。 自動化されたコード署名のために eSigner CKA を CI/CD ツールと統合する方法.

要件

  1. SSLcom が発行するコード署名証明書。 
  2. コード署名証明書は現在 eSigner に登録されている必要があります。このガイドを参照してください: リモートドキュメントおよびコード署名用に eSigner に登録する
  3. eSigner CKA をコンピューターにインストールし、署名モード (手動または自動) と署名の種類 (本番またはテスト) を構成します。インストール手順については、この記事を参照してください。 SSL.com eSigner Cloud Key Adapter (CKA) のインストール方法。

ユーザーは、eSignerのExtended Validation CodeSigning機能を使用してコードに署名できます。 詳細については、以下をクリックしてください。

詳細

オプションの手順: 署名前のマルウェアスキャンを使用する

マルウェア スキャンは、コード署名証明書で署名する前にソフトウェアにマルウェアが含まれていないことを確認する SSL.com の重要なサービスです。マルウェア スキャンを統合することで、開発者は強力なセキュリティ レイヤーを追加し、マルウェアが検出されると署名プロセスを自動的に停止し、開発者に必要なアクションを実行するよう警告します。

指示:

  1. SSL.com アカウントにログインします。 「注文」タブをクリックしてから、 ダウンロード 証明書のリンクをクリックして詳細を表示します。 下にスクロールして、 資格情報への署名 セクションを開き、eSigner 証明書の資格情報を示す部分を見つけます。 というラジオボタンがオンになっていることを確認してください。 署名資格が有効 と マルウェアブロッカーが有効になっています 選ばれる。
  2. eSigner クラウド キー アダプターをインストールします。
  3. eSigner CodeSignTool をインストールします。 クリック こちら eSigner CodeSignTool をダウンロードします。
  4. 次のコマンドを使用して、CodeSignTool でコードをスキャンします。 scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. SignTool を使用して、次のコマンドを使用して eSigner CKA でコードに署名します。 scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

パラメーター:

  • -input_file_path=<PATH>: 署名されるコード オブジェクトのパス。
  • -username=<USERNAME>SSL.com アカウントのユーザー名
  • -password=<PASSWORD>SSL.com アカウントパスワード。
  • -program_name=<PROGRAM_NAME>:番組名
  • -credential_id=<CREDENTIAL_ID>: 証明書に署名するための資格情報 ID。 電子署名者資格情報 ID は、 SSL.com 証明書の注文ページ。

コードに署名するためのコマンドを作成する

コマンドのコンポーネント

手動および自動コード署名の両方において、コマンド 含まれています。

  1. SignTool (ファイルにデジタル署名し、署名を検証するコマンドライン ツール) の場所を二重引用符で囲みます。例: “C:\ Program Files(x86)\ Windows Kits \ 10 \ bin \ 10.0.22000.0 \ x86 \ signtool.exe”
    注: SignTool の場所は、ダウンロードした SDK のバージョンと使用されているアーキテクチャによって異なります。
  2. この / fd sha256 ハッシュアルゴリズムを指定するオプション
  3. この / tr http://ts.ssl.com タイムスタンプサーバーアドレスを指定するオプション
  4. / td sha256 タイムスタンプダイジェストアルゴリズムを指定するオプション
  5. この / sha1 SignToolがキーストアから適切なコード署名証明書を見つけるために使用する拇印を指定するオプション
  6. 実際 証明書の拇印
  7. 署名するファイルのパス(二重引用符で囲みます): “SIGNABLE FILE PATH”

全体的なコマンドは次のようになります。 

「C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe」sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 証明書の拇印「署名可能なファイルパス」

ご注意: デフォルトでは、SSL.com は ECDSA キーからのタイムスタンプをサポートしています。

このエラーが発生した場合: The timestamp certificate does not meet a minimum public key length requirement、ソフトウェア ベンダーに連絡して、ECDSA キーからのタイムスタンプを許可する必要があります。

ソフトウェア ベンダーが通常のエンドポイントの使用を許可する方法がない場合は、このレガシー エンドポイントを使用できます。 http://ts.ssl.com/legacy RSA タイムスタンプ ユニットからタイムスタンプを取得します。

証明書の指紋を見つける

後で、eSigner CKA をインストールし、EV コード署名証明書を ユーザー証明書ストアを押すと、EV コード署名証明書の拇印を確認できます。 ウィンドウズキー+ R 次に入力します certmgr.mscを ユーザー証明書ストアにアクセスします。 証明書マネージャーウィンドウがポップアップしたら、をクリックします。 パーソナル 左側のパネルでフォルダを選択し、 証明書 EV コード署名証明書を見つけるための右側のサブフォルダー。

証明書をダブルクリックします。 詳細を選択 タブをクリックし、下にスクロールして拇印を表示します。拇印をコピーし、コードに署名するときにコマンドに含めます。

手動コード署名

eSignerCKAをインストールします

コマンドラインから SignTool にアクセスする

思い出していただくと、コード署名のコマンドは次のようになります。 

「C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe」sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 証明書の拇印「署名可能なファイルパス」

コマンドを入力して押すと 入力します、メッセージが表示されます 追加ストアの追加が完了。 次に、SSL.comアカウントのユーザー名とパスワードを入力するように求めるウィンドウがポップアップ表示されます。

ワンタイムパスワード(OTP)を入力してください 

eSignerに登録されたEVコード署名証明書のワンタイムパスワード(OTP)が認証システムアプリに送信されます。 入力が成功すると、コマンドプロンプトはファイルが正常に署名されたことを示します。

成功しました。コードが署名されました。 

ファイルのデジタル署名を確認してください

コード署名が正常に完了すると、ファイルのデジタル署名の詳細を確認できるようになります。 署名されたファイルを右クリックし、をクリックします プロパティ、続いて デジタル署名 タブ。 ここには、署名者の名前、使用されているダイジェストアルゴリズム、および署名のタイムスタンプが表示されます。 クリック 詳細 署名されたコードに関する詳細情報を取得するには、ボタンをクリックします。

次のような情報を読むことができます。 このデジタル署名はOKです。 クリックに進みます 証明書の表示

クリックした後 証明書の表示 ボタンをクリックすると、署名されたファイルに対して発行されたデジタル証明書が発行者からのものであり、発行後の変更から保護されていることを示す情報が表示されます。

自動コード署名

コマンド経由でSignToolにアクセスする

思い出していただくと、コード署名のコマンドは次のようになります。 

C:\ Program Files(x86)\ Windows Kits \ 10 \ bin \ 10.0.22000.0 \ x86 \ signtool.exe "sign / fd sha256 / tr http://ts.ssl.com / td sha256 / sha1証明書拇印" SIGNABLEファイルパス"

Open コマンドプロンプト コマンドを入力します。Enterキーを押すと、次のような通知が表示されます。 追加ストアの追加が完了.

数秒後、通知が表示されます 正常に署名されました。 これは、OTPを追加することなく、ファイルが自動化された方法で署名されていることを示しています。 

ファイルのデジタル署名の存在を確認してください

署名したファイルのフォルダの場所を開きます。 それを右クリックしてからクリックします プロパティ。 タブをクリックします デジタル署名 ここでは、使用されているセキュアハッシュアルゴリズムが256ビットであることがわかります。 署名者の名前、ダイジェストアルゴリズム、およびタイムスタンプを表示しているすぐ近くのスペースをクリックします。 強調表示されたら、クリックします 詳細

ポップアップウィンドウに、ファイルのデジタル署名が有効であることが示され、署名された特定の時刻が示されます。 クリック 証明書の表示 ボタンをクリックすると、発行された EV Code Signing デジタル証明書の詳細が表示されます。 

EV コード署名証明書に関する情報が表示され、実行可能ファイルの作成者として検証され、ファイルが改ざんされないように保護されます。 

eSigner CKA を使用した関連コード署名ガイド

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。