eSigner CKA(클라우드 키 어댑터) CNG 인터페이스(KSP Key Service Provider)를 사용하여 certutil.exe 및 signtool.exe와 같은 도구가 서명 작업에 eSigner CSC API를 사용할 수 있도록 하는 Windows 기반 애플리케이션입니다. 가상 USB 토큰처럼 작동하고 코드 서명 인증서를 인증서 저장소에 로드합니다. 이 기능은 물리적 USB 토큰에서는 제공되지 않는 CI/CD 프로세스에서 서명을 자동화하는 옵션을 제공하여 eSigner 인증서를 보다 유연하게 만드는 데 도움이 됩니다.
이 가이드에서는 프로덕션 인증서나 테스트 인증서를 사용하여 Windows SignTool에서 수동 및 자동 코드 서명을 수행하는 방법을 보여줍니다.
참고: eSigner CKA는 물리적 USB 토큰이 없는 CI/CD 프로세스에서 서명을 자동화하는 유연한 옵션을 제공합니다. CircleCI, GitHub Actions, Gitlab CI, Travis CI를 포함한 CI/CD 도구에서 자동화된 코드 서명을 위해 eSigner CKA를 사용하는 방법에 대한 지침은 이 페이지를 방문하세요. 자동 코드 서명을 위해 eSigner CKA를 CI/CD 도구와 통합하는 방법.
요구조건 니즈
- SSLcom이 발급한 코드 서명 인증서.
- 코드 서명 인증서는 현재 eSigner에 등록되어 있어야 합니다. 이 가이드를 참조하세요: 원격 문서 및 코드 서명을 위해 eSigner에 등록
- 컴퓨터에 eSigner CKA를 설치하고 서명 모드(수동 또는 자동)와 서명 유형(생산 또는 테스트)을 구성합니다. 설치 지침은 이 문서를 참조하세요. SSL.com eSigner 클라우드 키 어댑터(CKA)를 설치하는 방법.
선택 절차: 사전 서명 맬웨어 검사 사용
Malware Scan은 SSL.com의 중요한 서비스로, 코드 서명 인증서로 서명하기 전에 소프트웨어에 맬웨어가 없는지 확인합니다. Malware Scan을 통합함으로써 개발자는 강력한 보안 계층을 추가하여 맬웨어가 감지되면 서명 프로세스를 자동으로 중단하고 개발자에게 필요한 조치를 취하도록 경고합니다.
명령:
- SSL.com 계정에 로그인하십시오. 주문 탭을 클릭한 다음 다운로드 세부 정보를 표시하려면 인증서 링크를 클릭하세요. 아래로 스크롤하여 자격 증명 서명 섹션에서 eSigner 인증서 자격 증명을 보여주는 부분을 찾습니다. 라고 말하는 라디오 버튼이 서명 자격 증명 활성화됨 and 맬웨어 차단기 사용 선택됩니다.
- eSigner 클라우드 키 어댑터를 설치합니다.
- eSigner CodeSignTool을 설치합니다. 딸깍 하는 소리 LINK eSigner CodeSignTool을 다운로드합니다.
- 다음 명령을 사용하여 CodeSignTool에서 코드를 스캔합니다.
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
- 다음 명령을 사용하여 SignTool을 사용하여 eSigner CKA로 코드에 서명합니다.
scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>
매개 변수 :
-input_file_path=<PATH>
: 서명 할 코드 개체의 경로입니다.-username=<USERNAME>
: SSL.com 계정 사용자 이름-password=<PASSWORD>
: SSL.com 계정 암호.-program_name=<PROGRAM_NAME>
: 프로그램명-credential_id=<CREDENTIAL_ID>
: 인증서 서명을 위한 자격 증명 ID입니다. 귀하의 eSigner 자격 증명 ID는 귀하의 SSL.com 인증서 주문 페이지입니다.
코드 서명을 위한 명령 공식화
Command의 구성 요소
수동 및 자동 코드 서명의 경우 명령은 다음과 같습니다. 포함한다 :
- SignTool(파일에 디지털 서명을 하고 서명을 검증하는 명령줄 도구)의 위치, 큰따옴표로 묶음. 예: “C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
참고: SignTool의 위치는 다운로드한 SDK 버전과 사용되는 아키텍처에 따라 달라집니다. - 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 /fd sha256 해시 알고리즘을 지정하는 옵션
- 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 /tr http://ts.ssl.com 타임스탬프 서버 주소를 지정하는 옵션
- /td 샤256 타임스탬프 다이제스트 알고리즘을 지정하는 옵션
- 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 /샤1 SignTool이 키 저장소에서 적절한 코드 서명 인증서를 찾는 데 사용하는 지문을 지정하는 옵션
- 실제 인증서 지문
- 큰따옴표로 묶인 서명될 파일의 경로: "SIGNABLE FILE PATH"
전체적으로 명령은 다음과 같아야 합니다.
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" 서명 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 인증서 지문 " 서명 가능한 파일 경로”.
이 오류가 발생하는 경우:
The timestamp certificate does not meet a minimum public key length requirement
, ECDSA 키의 타임스탬프를 허용하려면 소프트웨어 공급업체에 문의해야 합니다.소프트웨어 공급업체가 일반 엔드포인트를 사용하도록 허용할 방법이 없는 경우 이 레거시 엔드포인트를 사용할 수 있습니다.
http://ts.ssl.com/legacy
RSA Timestamping Unit에서 타임스탬프를 가져옵니다.
인증서 지문 찾기
나중에 eSigner CKA를 설치하고 EV 코드 서명 인증서를 추가할 때 사용자 인증서 저장소, 를 눌러 EV 코드 서명 인증서 지문을 확인할 수 있습니다. Windows 키 + R 그런 다음 입력 certmgr.msc를 사용자 인증서 저장소에 액세스합니다. 인증서 관리자 창이 나타나면 개인 왼쪽 패널에서 폴더를 선택한 다음 인증서 오른쪽의 하위 폴더에서 EV 코드 서명 인증서를 찾을 수 있습니다.
인증서를 두 번 클릭합니다. 세부 정보 선택 탭을 클릭한 다음 아래로 스크롤하여 Thumbprint를 표시합니다. Thumbprint를 복사하여 코드에 서명할 때 명령에 포함합니다.
수동 코드 서명
eSigner CKA 설치
명령줄을 통해 SignTool에 액세스
기억하시겠지만, 코드 서명 명령은 다음과 같습니다.
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" 서명 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 인증서 지문 " 서명 가능한 파일 경로”
명령을 작성하고 누르면 엔터 버튼, 당신은 메시지를 볼 것입니다 추가 저장소 추가 완료. 그러면 SSL.com 계정 사용자 이름과 비밀번호를 입력하라는 창이 팝업됩니다.
일회용 비밀번호(OTP) 입력
eSigner에 등록된 EV 코드 서명 인증서의 OTP(일회용 비밀번호)가 Authenticator 앱으로 전송됩니다. 성공적으로 입력하면 명령 프롬프트에 파일이 성공적으로 서명되었음을 나타냅니다.
성공! 이제 코드가 서명되었습니다.
파일의 디지털 서명 확인
코드 서명에 성공하면 이제 파일에서 디지털 서명의 세부 정보를 확인할 수 있습니다. 서명된 파일을 마우스 오른쪽 버튼으로 클릭하고 등록, 그 다음에 디지털 서명 탭. 여기에 서명자의 이름, 사용된 다이제스트 알고리즘 및 서명의 타임스탬프가 표시됩니다. 클릭 세부 정보 버튼을 눌러 서명된 코드에 대한 자세한 정보를 얻으세요.
당신은 다음과 같은 정보를 읽을 수 있습니다. 이 디지털 서명은 OK입니다.. 클릭하여 진행 인증서보기 버튼을 클릭합니다.
를 클릭 한 후 인증서보기 버튼을 누르면 서명된 파일에 대해 발행된 디지털 인증서가 발행자로부터 온 것임을 확인하고 발행 후 변경되지 않도록 보호한다는 정보를 읽게 됩니다.
자동화된 코드 서명
명령을 통해 SignTool에 액세스하세요.
기억하시겠지만, 코드 서명 명령은 다음과 같습니다.
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" 기호 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 인증서 지문 "서명 가능 파일 경로"
엽니다 명령 프롬프트 and 명령을 입력합니다. Enter를 누르면 다음과 같은 알림이 표시됩니다. 추가 저장소 추가 완료.
몇 초 후에 알림이 표시됩니다. 서명 성공. 이는 OTP가 추가로 필요하지 않고 파일이 자동화된 방식으로 서명되었음을 나타냅니다.
파일에 디지털 서명이 있는지 확인
서명된 파일의 폴더 위치를 엽니다. 마우스 오른쪽 버튼으로 클릭한 다음 클릭 등록. 탭을 클릭하십시오 디지털 서명 여기에서 사용된 보안 해시 알고리즘에 256비트가 있음을 알 수 있습니다. 서명자의 이름, 다이제스트 알고리즘 및 타임스탬프를 표시하는 즉시 공간을 클릭합니다. 강조 표시되면 계속 클릭하십시오. 세부 정보 버튼을 클릭합니다.
그러면 파일의 디지털 서명이 유효함과 서명된 특정 시간을 나타내는 팝업 창이 표시됩니다. 클릭 인증서보기 버튼을 눌러 발급된 EV 코드 서명 디지털 인증서에 대한 자세한 정보를 확인하세요.
EV 코드 서명 인증서에 대한 정보가 표시되어 사용자가 실행 파일의 작성자임을 확인하고 파일이 변조되지 않도록 보호합니다.
eSigner CKA를 사용한 관련 코드 서명 가이드
- eSigner CKA 및 HLKSigntool을 사용하여 HLK(Hardware Lab Kit) 파일에 서명하는 방법. Hardware Lab Kit(HLK)는 Microsoft에 제출하기 위해 커널 모드 드라이버를 테스트하고 준비하는 데 사용됩니다. Microsoft의 HLK 플랫폼과 통합하기 위해 eSigner CKA는 또한 HLKSigntool 설치를 의무화합니다.
- eSigner CKA를 사용하여 VBA 매크로에 서명하는 방법. Microsoft Visual Basic for Applications(VBA)를 사용하면 프로그래밍 전문 지식이 없는 사람도 Office 응용 프로그램 내에서 반복되는 작업을 자동화하는 매크로를 기록, 생성 및 수정할 수 있습니다.
- eSigner CKA를 사용하여 .app 파일에 서명하는 방법. Microsoft_Application.app 파일에는 솔루션을 구성하는 모든 확장 기능이 포괄적으로 포함되어 있어 이 솔루션의 ID를 정의하고 참조하는 효율적인 방법을 제공합니다.
- eSigner CKA를 사용하여 vsix 파일에 서명하는 방법. A
.vsix
이 파일은 Microsoft의 통합 개발 환경(IDE)인 Visual Studio용 확장 기능과 추가 기능을 위한 설치 패키지입니다.