EV-codeondertekening op afstand met eSigner

Met SSL.com's eSigner service, kunt u uw SSL.com-gebruikersgegevens gebruiken om code te ondertekenen vanaf elk apparaat met internetverbinding. In deze gids wordt uitgelegd hoe u een EV Code-ondertekening certificaat bestellen in eSigner en code ondertekenen met de eSigner Express-webapp, of vanaf de opdrachtregel met CodeSignTool of SSL.com's CSC-compatibele API voor codeondertekening.

eSigner kan worden gebruikt voor het ondertekenen van Microsoft Authenticode en Java-code, en kan MSI-installatieprogramma's en verschillende soorten scripts ondertekenen. Een volledige lijst van ondersteunde bestandstypen is beschikbaar aan het einde van deze handleiding.

Schrijf u in voor eSigner

Eerst moet u een EV Code Signing-certificaatbestelling inschrijven bij eSigner.

1. Navigeer naar een uitgegeven EV Code Signing-bestelling in uw SSL.com-account. Merk op dat de bestelling is gelabeld eSigner Ready.
   
2. Klik op een van de Download koppelingen.
   
3. Maak en bevestig een 4-cijferige pincode en klik op het PIN maken knop.
   

Scan de QR-code naar een 2-factor authenticatie-app op uw mobiele apparaat, zoals Google Authenticator or Authy​ De app geeft u eenmalige wachtwoorden (OTP's) die u kunt gebruiken bij het ondertekenen. Elke OTP is 30 seconden geldig.

Onderteken code met eSigner Express

eSigner express is een handige webgebaseerde GUI-tool voor het ondertekenen van code en documenten. Hier leest u hoe u het kunt gebruiken om een ​​codebestand te ondertekenen.

1. Navigeer naar https://express.esigner.com/ met uw webbrowser.
   
2. Klik op de Log in met SSL.com-account knop.
   
3. Voer uw SSL.com in gebruikersnaam als wachtwoord, klik dan op de knop Leden knop.
   
4. Het hoofdscherm van eSigner verschijnt. Sleep een bestand dat moet worden ondertekend naar het neerzetgebied of klik en navigeer naar het bestand. Houd er rekening mee dat als u van plan bent een bestand groter dan 50 MB te ondertekenen, u CodeSignTool moet gebruiken. Klik CDL Super Session. voor instructies over het gebruik van deze tool.
   
5. Voer een 6-cijferige code in van uw tweefactorauthenticatie-app.
   
6. U zou een melding moeten zien dat uw bestand met succes is ondertekend. Klik op de Download file en kies een locatie om het bestand op te slaan.
   
7. Controleer de bestandseigenschappen om de digitale handtekening te bevestigen.
   

Onderteken code met CodeSignTool

Dit gedeelte bevat instructies voor het ondertekenen van code met CodeSignTool, een opdrachtregelprogramma geleverd door SSL.com. Met CodeSignTool kunt u een bestand ondertekenen met één opdracht. (Voor een compleet overzicht van alle CodeSignTool-opties en parameters verwijzen wij u naar de eSigner CodeSignTool-opdrachtgids.)

Installeer CodeSignTool

Download eerst CodeSignTool, een opdrachtregelprogramma voor het ondertekenen van code voor eSigner. Houd er rekening mee dat de Windows-download Java-runtime heeft ingebed, maar de Linux/macOS-versie vereist dat Java-runtime op uw computer is geïnstalleerd.

Om te installeren, downloadt u eenvoudig CodeSignTool voor uw besturingssysteem en pakt u het bestand uit:

• Windows
• Linux en macOS

Werken met CodeSignTool

U kunt CodeSignTool gebruiken om code te ondertekenen, een lijst met identificatie-ID's op te halen die zijn gekoppeld aan een SSL.com-gebruikersaccount, of EV-certificaatinformatie weer te geven die is gekoppeld aan een identificatie-ID en gebruiker.

Teken code

1. Wanneer u klaar bent om te beginnen met ondertekenen, opent u een terminal en navigeert u met naar de directory CodeSignTool.bat (Windows) of CodeSignTool.sh (macOS / Linux).
2. Voer de volgende opdracht in om een ​​bestand te ondertekenen. (Vervang waarden in HOOFDLETTERS door uw werkelijke waarden):

   CodeSignTool sign -username = GEBRUIKERSNAAM -password = WACHTWOORD -input_file_path = PAD / NAAR / FILE -output_dir_path = PAD / NAAR / UITGANG / DIRECTORY

   • Als uw wachtwoord speciale tekens bevat, plaats het dan tussen aanhalingstekens (bijv -password="P!@^^ssword12").
   • Als u meer dan één door eSigner ingeschreven EV-codeondertekeningscertificaat hebt, moet u het certificaat specificeren dat u wilt gebruiken met de -credential-id optie. Zie hieronder voor informatie over het opvragen van een lijst met inlog-ID's.
3. U wordt om een ​​OTP gevraagd. Haal een OTP op van uw authenticatie-app en voer deze in.

   Voer de OTP in - Druk op enter om door te gaan: 123456
   

U zou een bericht moeten ontvangen dat uw bestand met succes is ondertekend. Controleer de eigenschappen van het uitvoerbestand voor de digitale handtekening.

Code succesvol ondertekend: C: \ Users \ Aaron Russell \ Desktop \ CodeSignTool-v1.0-windows \ output \ test.exe

Krijg legitimatie-ID's

Gebruik de volgende opdracht om referentie-ID's op te halen die zijn gekoppeld aan een SSL.com-account. (Vervang waarden in HOOFDLETTERS door uw werkelijke waarden):

CodeSignTool get_credential_ids -username = USERNAME -password = WACHTWOORD

Ontvang informatie over het ondertekenen van EV-codes

Gebruik de volgende opdracht om certificaatinformatie voor EV-codeondertekening te koppelen aan een referentie-ID en gebruiker. (Vervang waarden in HOOFDLETTERS door uw werkelijke waarden):

CodeSignTool credential_info -username = USERNAME -password = PASSWORD -credential_id = CREDENTIAL-ID

Meerdere bestanden ondertekenen

Gebruik de volgende opdracht om batchgewijs maximaal 100 bestanden aan te melden. (Vervang waarden in HOOFDLETTERS door uw werkelijke waarden):

CodeSignTool batch_sign -username=USERNAME -password=PASSWORD -input_dir_path=/PATH/TO/CODE/FILES -output_dir_path=/PATH/TO/OUTPUT/DIRECTORY

Hashes vooraf berekenen

Gebruik de volgende opdracht om hashes vooraf te berekenen voor het ondertekenen met de batch_sign_hash opdracht. (Vervang waarden in HOOFDLETTERS door uw werkelijke waarden):

CodeSignTool-hash -input_dir_path=/PATH/TO/CODE/FILES

Batchteken hashes

Gebruik de volgende opdracht om hashes in batches te tekenen die zijn berekend met de hash opdracht. Houd er rekening mee dat u een toegangstoken en OTP nodig heeft. (Vervang waarden in HOOFDLETTERS door uw werkelijke waarden):

CodeSignTool batch_sign_hash -access_token=ACCESS-TOKEN -input_dir_path=PATH/TO/HASHES -output_dir_path=PATH/TO/OUTPUT/DIRECTORY -otp=OTP

Onderteken code met Code Signing API

U kunt ook API-aanroepen gebruiken om eSigner-code-ondertekening in uw toepassingen en scripts te integreren. De onderstaande voorbeeldopdrachten gebruiken Krul, dus u moet ervoor zorgen dat het beschikbaar is op uw computer voordat u aan de slag gaat. Je hebt ook je klant-ID (ook bekend als een Applicatie ID. Raadpleeg deze how-to voor instructies over het genereren van deze referentie). Als uw aanvraag als vertrouwelijk is gemarkeerd, heeft u ook uw Cliëntgeheim.

Toegangstoken ophalen

De eerste stap is om een ​​toegangstoken op te halen bij SSL.com. Je hebt je klant-ID (en mogelijk jouw Cliëntgeheim) beschikbaar, evenals de gebruikersnaam en het wachtwoord voor uw SSL.com-account. Toegangstokens zijn één uur geldig nadat ze zijn uitgegeven.

1. Gebruik de volgende opdracht om een ​​toegangstoken aan te vragen. Vervang de waarden die in HOOFDLETTERS worden weergegeven door uw werkelijke waarden:

   curl --location --request POST "https://login.ssl.com/oauth2/token" \ --header "Content-Type: application / json" \ --data-raw "{\" client_id \ ": \ "UW-KLANT-ID \", \ "grant_type \": \ "wachtwoord \", \ "gebruikersnaam \": \ "UW-GEBRUIKERSNAAM \", \ "wachtwoord \": \ "UW-WACHTWOORD \"} "

2. Als uw aanvraag als vertrouwelijk is gemarkeerd, voegt u ook uw klantgeheim toe:
   

   curl --location --request POST "https://login.ssl.com/oauth2/token" \ --header "Content-Type: application/json" \ --data-raw "{ \"client_id\" : \"YOUR-CLIENT-ID\", \"client_secret\" : \"YOUR-CLIENT-SECRET\", \"grant_type\" : \"wachtwoord\", \"gebruikersnaam\" : \"YOUR-USERNAME\ ", \"wachtwoord\" : \"UW-WACHTWOORD\" }"

    

3. U zou een JSON-object moeten ontvangen met een toegangstoken en een vernieuwingstoken. Kopieer de waarde van het toegangstoken om in uw API-verzoeken te plakken. U hebt het vernieuwingstoken niet nodig voor deze voorbeelden.

   {"access_token":"eyJraWQiOiJmUE1yYUdlbXVMWGUtcG9JWUtLem1CMEYwYXlFczktUEpiN29lTWFlY2I0IiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJTU
   0wuY29tIEF1dGhlbnRpY2F0aW9uIFNlcnZpY2UiLCJleHAiOjE2MTQ4OTcxNDIsImlhdCI6MTYxNDg5MzU0MiwianRpIjoiZmI2OTZlNDUtMTIzOS00ZGE4LW
   I1MmYtODNkZDE2MTY3ZTM3IiwidXNlciI6eyJ1c2VyX2lkIjoxMzIyODU4LCJ1c2VyX2VtYWlsIjoiYWFyb24uZS5ydXNzZWxsQGdtYWlsLmNvbSIsInNzbF9
   hY2NvdW50X2lkIjo0NzQzMDJ9LCJjbGllbnQiOnsiaWQiOiJmUE1yYUdlbXVMWGUtcG9JWUtLem1CMEYwYXlFczktUEpiN29lTWFlY2I0In19.fCKDs1igjsI
   UDG2sUN_2OTb90Jw1nKNPHcD1MyEUR6sHCv_aJmcvcaFRne_eKLHzeQ9WtT5y3Fb2ppc50kMnjPG6JgX5gnFMptMn-ySsI277CtKbkSn3u-WSDSovn51jPm82
   4wTeJmuXEzdv9clRjTwp6VoM9eqHCIaDAd3MP2xpMaa35cZbDaaAFKQ7jxWo9dUuTZY7DsKK0p1LloUEnmNxtNimQ3GDwkj_M600WB1zYrhDL9_3oZKaXcUx9
   qzHcBCLzGgeaZ0xdpZtADxmXDUCcmkZi20yQ53bxqVL2w00sJ73efKB7JGeGWVehO-ZlGs3PUQwooox1JgEgcsA","token_type":"Bearer",
   "expires_in":3599,"refresh_token":"o-3V2YD1iIVCh3iJFwFonTohlq_LbGXaJcUvy37ciYA","created_at":1614893542}%

Ophalen legitimatie-ID

Vervolgens moet u de identificatie-ID ophalen die is gekoppeld aan uw bij eSigner ingeschreven EV-codeondertekeningscertificaat.

1. Gebruik de volgende opdracht om de lijst met inloggegevens voor EV-codeondertekening van uw account op te halen. (Vervang MY-ACCESS-TOKEN door uw daadwerkelijke toegangstoken):

   curl --location --request POST "https://cs.ssl.com/csc/v0/credentials/list" \ --header "Content-Type: application / json" \ --header "Autorisatie: Bearer MY- ACCESS-TOKEN "\ --data-raw" {\ "clientData \": \ "EVCS \"} "

2. U zou een JSON-object moeten ontvangen met een lijst met referentie-ID's die aan de gebruiker zijn gekoppeld. Uw lijst bevat waarschijnlijk één waarde. Kopieer en plak uw identificatie-ID in een teksteditor voor gebruik in latere verzoeken.

   {"credentialIDs":["e4763186-5006-48de-bb15-a977e0e84281"]}%

Bestand uploaden

De volgende stap is het uploaden van uw bestand om te worden ondertekend.

1. Gebruik de volgende opdracht om een ​​bestand te uploaden voor ondertekening. (Vervang de waarden die in HOOFDLETTERS worden weergegeven door uw werkelijke waarden):

   curl --location --request POST "https://cds.ssl.com/v1/code/upload" \ --header "Credential-Id: MY-CREDENTIAL-ID" \ --header "Content-Type: applicatie / exe "\ --header" Autorisatie: Bearer MY-ACCESS-TOKEN "\ --data-binary" @ / PATH / TO / FILE "

2. U zou een JSON-object moeten ontvangen met een id waarde die moet worden gebruikt in het tekenbestandverzoek:

   {"id":"6035539b-4055-43f2-8749-3ad6e559b4cd"}%

Teken bestand

1. Nu kunt u het bestand ondertekenen met de bestands-ID die u in het vorige verzoek hebt gekregen en een OTP van uw 2FA-app. (Vervang de waarden die in HOOFDLETTERS worden weergegeven door uw werkelijke waarden):

   curl --location --request POST "https://cds.ssl.com/v1/code/sign" \ --output "PATH / TO / OUTPUT / FILE" \ --header "Content-Transfer-Encoding: applicatie / json "\ --header" Content-Type: application / json "\ --header" Autorisatie: Bearer MY-ACCESS-TOKEN "\ --data-raw" {\ "id \": \ "MY-FILE- ID \ ", \" otp \ ": \" MY-OTP \ "}"

2. U zou een ondertekend bestand moeten ontvangen op de locatie die u heeft opgegeven --output in de bovenstaande opdracht. Controleer de bestandseigenschappen om de digitale handtekening te bevestigen.
   

Hash ondertekenen met CSC API

Als u uw eigen apps ontwikkelt voor het ondertekenen van code (zoals die van SSL.com CodeSignTool) en wilt voorkomen dat code-artefacten via internet worden overgedragen, kunt u de Cloud Signature Consortium (CSC) API gebruiken om een ​​digitale handtekening te maken op basis van een bestandshash.

Toegangstoken en referentie-ID ophalen

Volg eerst de stappen die in het vorige gedeelte worden weergegeven om een toegangstoken als referentie-ID.

Autorisatie ophalen

1. Gebruik de volgende opdracht om autorisatie op te halen voor het ondertekenen van een hash. Vervangen MY-ACCESS-TOKEN, MY-CREDENTIAL-IDen MY-HASH met uw actuele informatie. Ontvang een eenmalig wachtwoord van uw 2FA-applicatie en gebruik dit als de waarde voor MY-OTP.
   

   curl --location --request POST "https://cs.ssl.com/csc/v0/credentials/authorize" \ --header "Content-Type: application / json" \ --header "Autorisatie: Bearer MY- ACCESS-TOKEN "\ --data-raw" {\ "credentialID \": \ "MY-CREDENTIAL-ID \", \ "numSignatures \": 1, \ "hash \": [\ "MY-HASH \" ], \ "OTP \": \ "MY-OTP \"} "

2. U zou een JSON-object moeten ontvangen met uw Signature Activation Data (SAD).
   

   {"SAD":"eyJ1c2VyX2lkIjoxMzQ4MzQyLCJleHBpcmVzX2luIjoiMjAyMS0wNS0xMiAxODo1MDo1MiswMDAwIiwiaGFzaCI6WyJzVE9nd09tKzQ3NGdGajBxM
   HgxaVNOc3BLcWJjc2U0SWVpcWxEZ1wvSFd1ST0iXSwiY3JlZGVudGlhbF9pZCI6ImJjNzE1ZWRhLWQ4MjUtNDliNy1hOGQ1LWVmZGM2ZGI1ZTZkMiJ9.QncXA
   7B+fnUgOUl+SI0FA5tX7N+iKgOA1EyHKWUwUgTLs9Ft2+O4Gk6AVBcX49IEHPsoeq88A+5QPndbc6VtA+XgdExUbWu6E9X74I2EL7Eed+nzjnbR1tPbigcZI9
   DIZFTGwBC5X8af+93oWvmd6omnHSEQpnDbhQHvm3cEZm0fGK4yX9fvxk0Y9qGpKn3xK7PmYdJuAXbyPXFm24RTNIXi4rbwOWghBytt+3WC2ptubz44+X88b19
   gRzIBPKyGdayb99/Uj8xsYh90u2HcL/+J4nKn3J40VTRHckLvoD9r6x8mC/giFXYYN7Q0SKNtrRI9N7SnTX4klPVhNxolA=="}

Teken Hash

1. Voer de volgende opdracht in om de hash te ondertekenen. Vervangen MY-ACCESS-TOKEN,  MY-CREDENTIAL-ID, MY-SADen MY-HASH met uw actuele informatie:
   

   curl --location --request POST "https://cs.ssl.com/csc/v0/signatures/signHash" \ --header "Content-Type: application / json" \ --header "Autorisatie: Bearer MY- ACCESS-TOKEN "\ --data-raw" {\ "credentialID \": \ "MY-CREDENTIAL-ID \", \ "SAD \": \ "MY-SAD \", \ "hash \": [\ "MY-HASH \"], \ "signAlgo \": \ "1.2.840.113549.1.1.11 \"} "

2. U zou een JSON-object moeten ontvangen met uw handtekening.
   

   {"signatures":["5CJUauF4WrLs6cc0c0xIVNpaWhjDZoQeRfsKEHhjDskHOrjPoxetOkaqg2wOsIVQiWzvN1fqbO1gG4UzZjU8IctsIPHUa9jU2KyZbWqLy
   bIuUl2k1Tondtp2wNszmwki1z/P5I/ff32TQDWkDiiF+RgPApC4vU8WifTfKMR+cG+2FwtYRuthtuvLoV1dgDSNob5T5tAYlnSjsgwPe9+q/L1v9grSGzre0+
   GgQQPBvN2f1KCkJ/bwJq7votwsncdxCshmPEHyXJTx2SaL9sUHOzwSB79WhOiO8R9nnCZuC90r45f3/6NNWpaUzy3/A9DZa8aHGsaKYsFsXTDQ3HUgxY=="]}

Ondersteunde bestandstypen voor eSigner-codeondertekening