이 가이드에서는 eSigner CKA를 설치하고 SignTool에서 자동 및 수동 코드 서명에 사용하는 방법을 보여줍니다.
eSigner CKA(클라우드 키 어댑터) CNG 인터페이스(KSP 키 서비스 공급자)를 사용하여 certutil.exe 및 signtool.exe와 같은 도구가 엔터프라이즈 코드 서명 작업에 eSigner CSC(클라우드 서명 컨소시엄) 호환 API를 사용할 수 있도록 하는 Windows 기반 애플리케이션입니다. 가상 USB 토큰처럼 작동하고 인증서 저장소에 코드 서명 인증서를 로드합니다.
eSigner CKA는 물리적 USB 토큰이 없는 CI/CD 프로세스에서 서명을 자동화하는 유연한 옵션을 제공합니다. CircleCI, GitHub Actions, Gitlab CI 및 Travis CI를 포함한 CI/CD 도구에서 자동화된 코드 서명을 위해 eSigner CKA를 사용하는 방법에 대한 지침은 다음 페이지를 참조하십시오. 자동 코드 서명을 위해 eSigner CKA를 CI/CD 도구와 통합하는 방법.
주의사항
이 교육 자료에는 다음이 필요합니다.
- EV 코드 서명 인증서를 발급했습니다.
- EV 코드 서명 인증서 현재 eSigner에 등록되어 있어야 합니다. 그렇지 않은 경우에는 다음을 참조하십시오. 가이드 기사.
- Google 인증 앱과 같이 휴대전화에 설치된 인증 앱입니다.
명령줄 공식화
명령줄의 구성 요소
수동 및 자동 코드 서명의 경우 텍스트 편집기에서 다음과 같이 명령줄에 입력해야 합니다. 명령 프롬프트. 명령줄에는 다음이 포함됩니다.
- 큰따옴표로 묶인 SignTool(파일에 디지털 서명하고 서명을 확인하는 명령줄 도구)의 위치: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
- 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 /fd sha256 해시 알고리즘을 지정하는 옵션
- 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 /tr http://ts.ssl.com 타임스탬프 서버 주소를 지정하는 옵션
- /td 샤256 타임스탬프 다이제스트 알고리즘을 지정하는 옵션
- 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 /샤1 SignTool이 키 저장소에서 적절한 코드 서명 인증서를 찾는 데 사용하는 지문을 지정하는 옵션
- 실제 인증서 지문
- 큰따옴표로 묶인 서명될 파일의 경로: "SIGNABLE FILE PATH"
전반적으로 명령줄은 다음과 같아야 합니다.
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" 서명 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 인증서 지문 " 서명 가능한 파일 경로”.
이 오류가 발생하는 경우:
The timestamp certificate does not meet a minimum public key length requirement
, ECDSA 키의 타임스탬프를 허용하려면 소프트웨어 공급업체에 문의해야 합니다.소프트웨어 공급업체가 일반 엔드포인트를 사용하도록 허용할 방법이 없는 경우 이 레거시 엔드포인트를 사용할 수 있습니다.
http://ts.ssl.com/legacy
RSA Timestamping Unit에서 타임스탬프를 가져옵니다.인증서 지문 찾기
나중에 eSigner CKA를 설치하고 EV 코드 서명 인증서를 추가할 때 사용자 인증서 저장소, 를 눌러 EV 코드 서명 인증서 지문을 확인할 수 있습니다. Windows 키 + R 그런 다음 입력 certmgr.msc를 사용자 인증서 저장소에 액세스합니다. 인증서 관리자 창이 나타나면 개인 왼쪽 패널에서 폴더를 선택한 다음 인증서 오른쪽의 하위 폴더에서 EV 코드 서명 인증서를 찾을 수 있습니다.
인증서를 두 번 클릭합니다. 세부 정보 선택 탭을 누른 다음 아래로 스크롤하여 지문을 표시합니다. 코드에 서명할 때 지문을 복사하여 명령줄에 포함합니다.
수동 코드 서명
eSigner CKA 설치
설치 모드를 선택할 때 다음을 선택하십시오. 수동 코드 서명 확인 버튼을 클릭합니다.
eSigner CKA 프로그램에 로그인
eSigner CKA를 설치하면 프로그램을 열고 SSL.com 계정 사용자 이름과 암호를 사용하여 로그인합니다.
로그인에 성공하면 EV 코드 서명 인증서를 발급한 주체의 이름, 일련 번호, 만료 날짜 및 EVCS (Extended Validation Code Signing) 약어.
텍스트 편집기에서 명령줄 작성
기억하기 위해 코드 서명을 위한 명령줄은 다음과 같습니다.
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" 서명 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 인증서 지문 " 서명 가능한 파일 경로”
텍스트 편집기에서 명령줄을 작성하고 엔터 버튼, 당신은 메시지를 볼 것입니다 추가 저장소 추가 완료. 그러면 SSL.com 계정 사용자 이름과 비밀번호를 입력하라는 창이 팝업됩니다.
일회용 비밀번호(OTP) 입력
eSigner에 등록된 EV 코드 서명 인증서의 OTP(일회용 비밀번호)가 Authenticator 앱으로 전송됩니다. 성공적으로 입력하면 명령 프롬프트에 파일이 성공적으로 서명되었음을 나타냅니다.
파일의 디지털 서명 확인
코드 서명에 성공하면 이제 파일에서 디지털 서명의 세부 정보를 확인할 수 있습니다. 서명된 파일을 마우스 오른쪽 버튼으로 클릭하고 등록, 그 다음에 디지털 서명 탭. 여기에 서명자의 이름, 사용된 다이제스트 알고리즘 및 서명의 타임스탬프가 표시됩니다. 클릭 세부 정보 버튼을 눌러 서명된 코드에 대한 자세한 정보를 얻으세요.
클릭 시 세부 정보, 다음과 같은 정보를 읽을 수 있습니다. 이 디지털 서명은 OK입니다.. 클릭하여 진행 인증서보기 버튼을 클릭합니다.
를 클릭 한 후 인증서보기 버튼을 누르면 서명된 파일에 대해 발행된 디지털 인증서가 발행자로부터 온 것임을 확인하고 발행 후 변경되지 않도록 보호한다는 정보를 읽게 됩니다.
자동화된 코드 서명
eSigner CKA 설치
설치 모드를 선택할 때 다음을 선택하십시오. 자동화된 코드 서명 확인 버튼을 클릭합니다.
마스터 키 파일 저장
마스터 키 파일 보안의 중요성을 설명하는 메모가 표시됩니다. 읽어보신 후 확인 버튼을 눌러주세요.
그러면 마스터 키 파일을 저장할 위치를 선택할 수 있는 창이 팝업됩니다.
SSL.com 계정 사용자 이름과 비밀번호를 입력하세요.
SSL.com 계정 사용자 이름과 암호를 입력하십시오.
전자 서명자를 입력하십시오 TOTP(시간 기반 일회용 암호)
그런 다음 TOTP(시간 기반 일회용 암호)를 입력합니다. SSL.com 계정의 EV 코드 서명 인증서 주문 세부 정보에 포함된 TOTP를 찾을 수 있습니다. eSigner 주문을 등록할 때 이전에 설정한 4자리 PIN을 입력한 다음 QR 코드 표시 버튼을 눌러 TOTP를 표시합니다.
TOTP는 라벨이 붙은 상자에 표시됩니다. 비밀 코드. TOTP를 복사하여 붙여넣기 TOTP 비밀 eSigner CKA 창의 필드를 클릭한 다음 OK 버튼을 눌러 저장하십시오.
SSL.com 계정 자격 증명과 TOTP를 입력하면 EV 코드 서명 인증서의 세부 정보를 볼 수 있습니다. TOTP를 업데이트하기로 결정한 경우 할당된 필드에 새 TOTP를 붙여넣고 다음을 클릭합니다. 찜하기.
텍스트 편집기에서 명령줄 작성
기억하기 위해 코드 서명을 위한 명령줄은 다음과 같습니다.
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" 기호 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 인증서 지문 "서명 가능 파일 경로"
엽니다 명령 프롬프트 및 명령줄을 배치합니다. Enter 키를 누르면 다음과 같은 알림이 표시됩니다. 추가 저장소 추가 완료.
몇 초 후에 알림이 표시됩니다. 서명 성공. 이는 OTP가 추가로 필요하지 않고 파일이 자동화된 방식으로 서명되었음을 나타냅니다.
파일에 디지털 서명이 있는지 확인
서명된 파일의 폴더 위치를 엽니다. 마우스 오른쪽 버튼으로 클릭한 다음 클릭 등록. 탭을 클릭하십시오 디지털 서명 여기에서 사용된 보안 해시 알고리즘에 256비트가 있음을 알 수 있습니다. 서명자의 이름, 다이제스트 알고리즘 및 타임스탬프를 표시하는 즉시 공간을 클릭합니다. 강조 표시되면 계속 클릭하십시오. 세부 정보 버튼을 클릭합니다.
그러면 파일의 디지털 서명이 유효함과 서명된 특정 시간을 나타내는 팝업 창이 표시됩니다. 클릭 인증서보기 버튼을 눌러 발급된 EV 코드 서명 디지털 인증서에 대한 자세한 정보를 확인하세요.
EV 코드 서명 인증서에 대한 정보가 표시되어 사용자가 실행 파일의 작성자임을 확인하고 파일이 변조되지 않도록 보호합니다.
샌드박스 계정으로 eSigner CKA를 테스트하는 방법
eSigner CKA 설치
에 설치할지 여부를 선택합니다. Manual or 자동화 모드.
****하나의 모드를 선택한 경우 다른 모드에서 테스트하기 전에 프로그램을 다시 설치해야 합니다.*****
Appdata의 Roaming 하위 디렉토리를 엽니다.
SSL.com 샌드박스 계정을 사용하여 eSigner CKA를 테스트하려면 AppData 폴더의 Roaming 하위 디렉토리에서 애플리케이션 설정을 수정해야 합니다. 입력하다 %앱데이터% Windows 검색 창에서 AppData의 로밍 하위 디렉터리로 직접 이동합니다.
전자 서명자 열기 데이터 파일 텍스트 편집기로
열기 전자 서명자CKA 폴더, 파일 찾기 esignerapp.data, 마우스 오른쪽 버튼으로 클릭하고 텍스트 편집기를 사용하여 파일을 편집하는 옵션을 선택합니다. 이 경우 메모장 + +.
텍스트 편집기를 열면 아래에 값 세트가 표시됩니다.
값 세트를 다음 행으로 분리하여 편집하기 쉽도록 할 수 있습니다.
수동 모드 테스트 서명
수동 모드에서 테스트 서명의 경우 다음 값이 있어야 합니다.
- 클라이언트 ID는 다음과 같아야 합니다. qOUeZCCzSqgA93acB3LYq6lbNjgZdiOxQc-KayC3UMw
- 추가 -노력하다 api_url에서
이전: "api_url":"https://cs.ssl.com/csc/v0/
이후: "api_url":"https://CS 시도.ssl.com/csc/v0/" - 교체 로그인 과 oauth-샌드박스 auth_url에서
이전: "auth_url":"https://로그인.ssl.com/oauth2/token”
이후: “auth_url”:”https://oauth-샌드박스.ssl.com/oauth2/token” - "cred_mode": 0
- "마스터 키": null
자동 모드 테스트 서명
자동 모드에서 테스트 서명의 경우 다음 값이 있어야 합니다.
- 클라이언트 ID는 다음과 같아야 합니다. qOUeZCCzSqgA93acB3LYq6lbNjgZdiOxQc-KayC3UMw
- 추가 -노력하다 api_url에서
이전: "api_url":"https://cs.ssl.com/csc/v0/
이후: "api_url":"https://CS 시도.ssl.com/csc/v0/" - 교체 로그인 과 oauth-샌드박스 auth_url에서
이전: "auth_url":"https://로그인.ssl.com/oauth2/token”
이후: “auth_url”:”https://oauth-샌드박스.ssl.com/oauth2/token” - "cred_mode": 1
- 교체 null로 master_key에서 정확한 파일 경로로 마스터 키 파일. 테스트 목적으로 eSigner CKA를 자동화 모드로 설치할 때 샌드박스 계정 로그인 자격 증명을 제공해야 합니다. 그 이유는 자동화된 코드 서명에서 로그인 자격 증명이 마스터 키를 사용하여 암호화되기 때문입니다. 설치 시 프로덕션 로그인 자격 증명을 입력하고 나중에 자동화된 테스트 형식에 따라 esignerapp.data 파일의 값을 변경하면 제공한 사용자 이름과 비밀번호가 샌드박스 테스트 환경에 없기 때문에 테스트를 수행할 수 없습니다.
SSL.com 샌드박스 계정 자격 증명을 사용하여 eSigner CKA에 로그인합니다.
의 값을 변경한 후 esignerapp.data, 이제 라이브 인증서에 대해 앞에서 설명한 것과 동일한 단계에 따라 샌드박스에서 EV 코드 서명 인증서를 테스트할 수 있습니다.
eSigner CKA 및 HLKSigntool을 사용하여 HLK(Hardware Lab Kit) 파일에 서명하는 방법
하드웨어 랩 키트는 Microsoft에 제출할 커널 모드 드라이버를 테스트하고 준비하는 도구입니다. 현재 eSigner CKA는 Microsoft의 HLK 소프트웨어 내에서 사용하기 위해 HLKSigntool을 설치해야 합니다.
HLKSignTool.exe를 실행하기 전에 먼저 eSigner CKA를 설치 및 구성해야 합니다(사용자 로그인 및 TOTP 암호 설정).
1단계. eSigner CKA 설치 및 구성
2단계. 아래 명령줄과 함께 HLKSignTool 사용
명령 행
HLKSignTool.exe certificate_serial "path_to_file"
예:
HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"
eSigner CKA를 사용하여 VBA 매크로에 서명하는 방법
이 링크를 사용하여 디지털 서명 VBA 프로젝트용 Microsoft Office 주제 인터페이스 패키지를 다운로드하고 설치하십시오. https://www.microsoft.com/en-us/download/details.aspx?id=56617
다음을 추가 할 수 있습니다. DWORD 레지스트리 키-값 V1해시향상 다른 해시 알고리즘을 선택하려면 HKCU\SOFTWARE\Microsoft\VBA\보안 값 알고리즘 규칙(1은 SHA1, 2는 SHA256, 3은 SHA384, 4는 SHA512).
설치가 완료되면 다음 단계를 수행하십시오.
- 관리자 명령 프롬프트를 열고 다음을 입력하세요. 경로는 방금 파일을 설치한 위치가 됩니다.
regsvr32.exe
regsvr32.exe
OLE 컨트롤을 등록하는 방법에 대한 자세한 내용을 보려면 다음을 방문하세요. Microsoft의 웹 사이트.
성공하면 다음 메시지가 표시됩니다. “DIIRegister Server in 성공했어요.”
- 다음을 설치합니다. download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
- eSigner CKA 설치
- SignTool 명령을 실행하여 매크로에 서명합니다. https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line
eSigner CKA를 사용하여 .app 파일에 서명하는 방법
- 다운로드 Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113
참고: 서명을 시도하는 경우 .APP 먼저 Microsoft를 설치하지 않고 eSigner CKA를 사용하여 파일을 작성하세요. Dynamics 365 Business Central 응용 프로그램을 사용하면 다음 SignTool 오류가 발생합니다. 이 파일 형식은 인식되지 않기 때문에 서명할 수 없습니다. - 열기 Dynamics.365.BC.55195.US.DVD.zip 원하는 위치에 내용을 추출합니다.
- 엽니다 setup.exe를 for Microsoft Dynamics 365 Business Central을 클릭하고 다음> 버튼을 클릭합니다.
- Microsoft 소프트웨어 사용 조건을 읽은 후 동의합니다 > 버튼을 클릭합니다.
- 왼쪽 메뉴에서 고급 설치 옵션
- 설치 옵션을 선택하세요.
- 선택 서버 설치 옵션.
- 클릭 신청 단추.
- 설치가 완료될 때까지 기다리십시오. 성공적으로 설치되면 다음을 클릭하세요. 닫기 버튼을 클릭합니다.
- SignTool에서 .app 파일에 서명합니다. https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line
eSigner CKA를 사용하여 vsix 파일에 서명하는 방법
- Dotnet Core SDK 다운로드: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
- OpenVsixSignTool 설치
dotnet tool install -g OpenVsixSignTool
- 다음 서명 명령을 사용하십시오.
OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamp
http://ts.ssl.com
-ta sha256 -fd sha256 "SIGNABLE FILE PATH"
eSigner CKA에서 맬웨어 검사를 사용하는 방법
명령:
- SSL.com 계정에 로그인하십시오. 주문 탭을 클릭한 다음 다운로드 세부 정보를 표시하려면 인증서 링크를 클릭하세요. 아래로 스크롤하여 자격 증명 서명 섹션에서 eSigner 인증서 자격 증명을 보여주는 부분을 찾습니다. 라고 말하는 라디오 버튼이 서명 자격 증명 활성화됨 및 맬웨어 차단기 사용 선택됩니다.
- eSigner 클라우드 키 어댑터를 설치합니다.
- eSigner CodeSignTool을 설치합니다. 딸깍 하는 소리 LINK eSigner CodeSignTool을 다운로드합니다.
- 다음 명령을 사용하여 CodeSignTool에서 코드를 스캔합니다.
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
- 서명 도구를 사용하여 다음 명령을 사용하여 eSigner CKA로 코드에 서명합니다.
scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>
매개 변수 :
-input_file_path=<PATH>
: 서명 할 코드 개체의 경로입니다.-username=<USERNAME>
: SSL.com 계정 사용자 이름-password=<PASSWORD>
: SSL.com 계정 암호.-program_name=<PROGRAM_NAME>
: 프로그램명-credential_id=<CREDENTIAL_ID>
: 인증서 서명을 위한 자격 증명 ID입니다. 귀하의 eSigner 자격 증명 ID는 귀하의 SSL.com 인증서 주문 페이지입니다.
SSL.com은 다양한 SSL /TLS 서버 인증서 다음을 포함한 HTTPS 웹 사이트의 경우 :