Hvordan automatisere EV-kodesignering med SignTool.exe eller Certutil.exe ved å bruke eSigner CKA (Cloud Key Adapter)

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Kopier artikkellenken

eSigner CKA (Cloud Key Adapter) er en Windows-basert applikasjon som bruker CNG-grensesnittet (KSP Key Service Provider) for å tillate verktøy som certutil.exe og signtool.exe å bruke eSigner CSC API for signeringsoperasjoner. Den fungerer som et virtuelt USB-token og laster kodesigneringssertifikatene til sertifikatlageret. Denne funksjonen bidrar til å gjøre eSigner-sertifikatet ditt mer fleksibelt med alternativer for å automatisere signeringer i CI/CD-prosesser som ikke eksisterer med et fysisk USB-token.

Denne veiledningen viser hvordan du utfører manuell og automatisert kodesignering på Windows SignTool ved å bruke et produksjonssertifikat eller testsertifikat. 

Merk: eSigner CKA gir mulighet for fleksible alternativer for å automatisere signeringer i CI/CD-prosesser som ikke eksisterer med et fysisk USB-token. For veiledning om hvordan du bruker eSigner CKA for automatisert kodesignering i CI/CD-verktøy inkludert CircleCI, GitHub Actions, Gitlab CI og Travis CI, vennligst besøk denne siden: Hvordan integrere eSigner CKA med CI/CD-verktøy for automatisert kodesignering.

Krav

  1. Et kodesigneringssertifikat utstedt av SSLcom. 
  2. Kodesigneringssertifikat må for øyeblikket være registrert på eSigner. Se denne veiledningen: Registrer deg med eSigner for ekstern dokument- og kodesignering
  3. Installer eSigner CKA på datamaskinen din og konfigurer signeringsmodus (manuell eller automatisert) og signeringstype (produksjon eller test). Se denne artikkelen for installasjonsinstruksjoner: Slik installerer du SSL.com eSigner Cloud Key Adapter (CKA).

Brukere kan signere kode med eSigners funksjon for utvidet valideringskodesignering. Klikk nedenfor for mer informasjon.

FINN UT MER

Valgfri prosedyre: Bruk forhåndssignering av skadelig programvare

Malware Scan er en viktig tjeneste fra SSL.com som sikrer at programvare er fri for skadelig programvare før den signeres med et kodesigneringssertifikat. Ved å integrere Malware Scan legger utviklere til et robust lag med sikkerhet, som automatisk stopper signeringsprosessen hvis skadelig programvare oppdages og varsler utvikleren om å ta nødvendige handlinger.

Bruksanvisning:

  1. Logg på SSL.com-kontoen din. Klikk på bestillinger-fanen etterfulgt av nedlasting lenken til sertifikatet for å vise detaljene. Rull ned til SIGNERING AV KREDENSJONER og finn delen som viser legitimasjonen for eSigner-sertifikatet. Pass på at radioknappene som sier signeringslegitimasjon aktivert og malware blokkering aktivert er valgt.
  2. Installer eSigner Cloud Key Adapter.
  3. Installer eSigner CodeSignTool. Klikk her. for å laste ned eSigner CodeSignTool.
  4. Skann koden på CodeSignTool ved å bruke følgende kommando: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Bruk SignTool til å signere koden med eSigner CKA ved å bruke følgende kommando: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parametere:

  • -input_file_path=<PATH>: Sti for kodeobjektet som skal signeres.
  • -username=<USERNAME>SSL.com konto brukernavn
  • -password=<PASSWORD>SSL.com bruker passord.
  • -program_name=<PROGRAM_NAME>: Navn på programmet
  • -credential_id=<CREDENTIAL_ID>: Legitimasjons-ID for signering av sertifikat. Din eSigner-legitimasjons-ID er plassert i din SSL.com sertifikatbestillingsside.

Formuler kommandoen for signering av kode

Komponenter av kommandoen

For både manuell og automatisert kodesignering, kommandoen inneholder:

  1. Plasseringen av SignTool (kommandolinjeverktøy som er ansvarlig for digital signering av en fil og verifiserer signaturen), omsluttet av doble anførselstegn. Eksempel: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
    Merk: Plasseringen av SignTool vil avhenge av versjonen av SDK-en som er lastet ned og arkitekturen som brukes.
  2. De /fd sha256 alternativ som spesifiserer Hash-algoritmen
  3. De / tr http://ts.ssl.com alternativ som spesifiserer tidsstempelserveradressen
  4. /td sha256 alternativ som spesifiserer tidsstempelsammendragsalgoritmen
  5. De /sha1 alternativ som spesifiserer tommelfingeravtrykket som SignTool bruker for å finne riktig kodesigneringssertifikat fra nøkkellageret
  6. Den faktiske sertifikat tommelfingeravtrykk
  7. Banen til filen som skal signeres, omsluttet av doble anførselstegn: "SIGNABLE FILE PATH"

Alt i alt skal kommandoen se slik ut: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat thumbprint " SIGNERBAR FILBANE"

OBS: Som standard støtter SSL.com tidsstempler fra ECDSA-nøkler.

Hvis du støter på denne feilen: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte programvareleverandøren for å tillate tidsstempler fra ECDSA-nøkler.

Hvis det ikke er noen måte for programvareleverandøren din å tillate at det vanlige endepunktet brukes, kan du bruke dette eldre endepunktet http://ts.ssl.com/legacy for å få et tidsstempel fra en RSA Timestamping Unit.

Finne sertifikatets tommelfingeravtrykk

Senere, etter å ha installert eSigner CKA og lagt til EV Code Signing-sertifikatet til Butikk for brukersertifikater, vil du kunne sjekke EV Code Signing-sertifikatet thumbprint ved å trykke Windows-tasten + R og skriv deretter inn certmgr.msc for å få tilgang til brukersertifikatlageret. Når sertifikatbehandlingsvinduet dukker opp, klikker du på Personlig mappe på venstre panel og velg deretter sertifikater undermappe til høyre for å finne EV Code Signing-sertifikatet.

Dobbeltklikk på sertifikatet. Velg Detaljer og bla nedover for å avsløre tommelfingeravtrykket. Kopier tommelfingeravtrykket og ta det med i kommandoen når du signerer koden.

Gå til toppen

Manuell kodesignering

Installer eSigner CKA

Last ned SSL.COM eSigner CKA

Få tilgang til SignTool via kommandolinjen

For å huske, ser kommandoen for kodesignering slik ut: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat thumbprint " SIGNERBAR FILBANE"

Når du skriver kommandoen og trykker Enter, vil du se meldingen Ferdig med å legge til ekstra butikk. Et vindu vil da dukke opp som krever at du legger inn brukernavn og passord for SSL.com-kontoen din.

Skriv inn engangspassordet (OTP) 

Et engangspassord (OTP) for ditt eSigner-registrerte EV-kodesigneringssertifikat vil bli sendt til Authenticator-appen din. Ved vellykket inntasting vil ledeteksten indikere at filen din har blitt signert.

Suksess! Koden din er nå signert. 

Sjekk den digitale signaturen på filen

Etter vellykket kodesignering kan du nå sjekke detaljene for den digitale signaturen på filen. Høyreklikk på den signerte filen, klikk Eiendommer, etterfulgt av Digitale signaturer Tab. Her vil du se navnet på underskriveren, sammendragsalgoritmen som brukes, og tidsstemplet til signaturen. Klikk på Detaljer for å få mer informasjon om den signerte koden.

Du vil kunne lese informasjonen om Denne digitale signaturen er OK. Fortsett til å klikke på Se sertifikat knapp.

Etter å ha klikket på Se sertifikat knappen, vil du lese informasjon som indikerer at det digitale sertifikatet som er utstedt for den signerte filen sikrer at den kom fra utgiveren og beskytter den mot endringer etter publisering.

Gå til toppen

Automatisert kodesignering

Få tilgang til SignTool via kommandoen

For å huske, ser kommandoen for kodesignering slik ut: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat thumbprint "SIGNABLE FILBANE”

Åpen Ledetekst og legg inn kommandoen. Etter å ha trykket på enter, vil du se varselet Ferdig med å legge til ekstra butikk.

Etter noen sekunder vil du se varselet Vellykket signert. Dette indikerer at filen din har blitt signert på en automatisert måte, uten ekstra behov for engangstjenester. 

Sjekk tilstedeværelsen av den digitale signaturen på filen din

Åpne mappeplasseringen til den signerte filen. Høyreklikk den og klikk deretter Eiendommer. Klikk på fanen Digitale signaturer og her vil du se den sikre hash-algoritmen som brukes har 256 biter. Klikk på det umiddelbare feltet som viser navnet på underskriveren, sammendragsalgoritmen og tidsstempelet. Etter at den er uthevet, fortsett til å klikke på Detaljer knapp.

Et popup-vindu vil da vise som sier at den digitale signaturen på filen er gyldig, samt angir det spesifikke tidspunktet da den ble signert. Klikk på Se sertifikat for å se mer informasjon om det digitale sertifikatet for EV Code Signing som ble utstedt. 

Du vil se informasjon om EV Code Signing-sertifikatet som sier at det validerer deg som skaperen av den kjørbare filen og beskytter filen din mot å bli tuklet med. 

Gå til toppen

Relaterte veiledninger for kodesignering ved bruk av eSigner CKA

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen