Code-ondertekening met Azure Key Vault

In deze zelfstudie ziet u hoe u bestanden ondertekent vanaf de Windows-opdrachtregel met een certificaat voor ondertekening van code en een persoonlijke sleutel die zijn opgeslagen in Azure Key Vault. Om deze instructies te volgen heeft u nodig:

• An Azure-account
• A Sleutel kluis
• A certificaat voor codeondertekening geïnstalleerd in uw Key Vault. Je kan of:
  • Genereer een CSR en installeer een certificaat in Key Vault or
  • Importeer een certificaat in Key Vault
• Azure Sign-hulpprogramma geïnstalleerd op de computer waarmee u ondertekent

Wat is Azure Sign Tool?

Azure Sign-hulpprogramma is een open-sourceprogramma dat TekenTool functionaliteit voor certificaten en sleutels die zijn opgeslagen in Azure Key Vault. U kunt Azure Sign Tool installeren met de volgende opdracht in Windows PowerShell (vereist .NET-SDK):

dotnet tool install --global AzureSignTool

Stap 1: Registreer een nieuwe Azure-toepassing

Eerst moet u een nieuwe Azure-toepassing registreren, zodat u voor ondertekening verbinding kunt maken met uw Key Vault.

1. Log in bij de Azure-portal.
   
2. Navigeer naar Azure Active Directory. (Klik Meer diensten als het Azure Active Directory-pictogram niet zichtbaar is.)
   
3. Klik App-registraties, in de linkerkolom.
   
4. Klik Nieuwe registratie.
   
5. Geef uw aanvraag een Naam En klik op de knop Registreren knop. Laat de andere instellingen op hun standaardwaarden staan.
   
6. Uw nieuwe aanvraag is geregistreerd. Kopieer en bewaar de waarde die wordt weergegeven voor Applicatie (klant) ID, omdat je het later nodig hebt.
   
7. Klik authenticatie.
   
8. Onder Geavanceerde instellingen, stel in Sta openbare clientstromen toe naar Yes.
   
9. Klik Bespaar.
   

Stap 2: Maak een clientgeheim

Genereer vervolgens een clientgeheim, dat als referentie zal dienen bij het ondertekenen.

1. Klik Certificaten en geheimen in het linker menu.
   
2. Klik Nieuw klantgeheim.
   
3. Geef uw cliëntgeheim een Omschrijving, stel de vervaldatum in zoals gewenst en klik op de Toevoegen knop.
   
4. Kopieer de Waarde van uw nieuwe cliëntgeheim per direct en bewaar het op een veilige plaats. De volgende keer dat de pagina wordt vernieuwd, wordt deze waarde gemaskeerd en kan deze niet worden hersteld.
   

Stap 3: Schakel toegang in Key Vault in

Nu moet u toegang voor uw toepassing inschakelen in Azure Key Vault.

1. Navigeer naar de Key Vault met het certificaat dat u wilt gebruiken voor ondertekening en klik op het Toegangsbeleid link.
   
2. Klik Toegangsbeleid toevoegen.
   
3. Onder Sleutelrechten, inschakelen Sign.
   
4. Onder Certificaatrechten, inschakelen Get.
   
5. Klik op de Geen geselecteerd link, onder Selecteer de opdrachtgeveren gebruik vervolgens het zoekveld om de applicatie te zoeken en te selecteren die u in de vorige sectie hebt gemaakt.
   
6. Klik op de kies knop.
   
7. Klik op de Toevoegen knop.
   
8. Klik Bespaar.
   
9. Uw toegangsbeleid is ingesteld en u bent klaar om te beginnen met het ondertekenen van bestanden.
   

Stap 4: onderteken een bestand

Nu ben je eindelijk klaar om een ​​code te ondertekenen!

1. U heeft de volgende informatie nodig:
   • Your Key Vault-URI (beschikbaar in de Azure-portal):
     
   • De vriendelijke naam van uw certificaat in Key Vault:
     
   • De Applicatie (klant) ID waarde van uw Azure-toepassing:
     
   • De geheime klant je hebt hierboven gegenereerd:
     
2. Hieronder ziet u een voorbeeldopdracht in PowerShell om een ​​bestand te ondertekenen en van een tijdstempel te voorzien met Azure Sign Tool. Vervang de waarden in HOOFDLETTERS door uw feitelijke informatie:

   azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICAAT-NAAM -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PAD-NAAR UITVOERBAAR

   Opmerking: Standaard ondersteunt SSL.com tijdstempels van ECDSA-sleutels.
   
   Als u deze fout tegenkomt: The timestamp certificate does not meet a minimum public key length requirement, dient u contact op te nemen met uw softwareleverancier om tijdstempels van ECDSA-sleutels toe te staan.
   
   Als uw softwareleverancier het gebruik van het normale eindpunt niet toestaat, kunt u dit verouderde eindpunt gebruiken http://ts.ssl.com/legacy om een ​​tijdstempel te krijgen van een RSA-tijdstempeleenheid.
3. Als het ondertekenen is gelukt, zou u de volgende output moeten zien (als het ondertekenen niet lukt, wordt er geen output geproduceerd):

   info: AzureSignTool.Program [0] => Bestand: test.exe Tekenbestand test.exe info: AzureSignTool.Program [0] => Bestand: test.exe Ondertekening voltooid voor bestand test.exe. info PS C: \ Users \ Aaron Russell \ Desktop>

4. Details over de nieuwe digitale handtekening zijn beschikbaar in de bestandseigenschappen: