Hvordan automatisere EV-kodesignering med Signtool.exe eller Certutil.exe ved å bruke eSigner CKA (Cloud Key Adapter)

Denne guideartikkelen viser hvordan du installerer eSigner CKA og bruker den til automatisert og manuell kodesignering på Signtool. 

eSigner CKA (Cloud Key Adapter) er en Windows-basert applikasjon som bruker CNG-grensesnittet (KSP Key Service Provider) for å tillate verktøy som certutil.exe og signtool.exe å bruke eSigner Cloud Signature Consortium (CSC)-kompatible API for virksomhetskodesigneringsoperasjoner. Den fungerer som et virtuelt USB-token og laster kodesigneringssertifikatene til sertifikatlageret.

eSigner CKA gir mulighet for fleksible alternativer for å automatisere signeringer i CI/CD-prosesser som ikke eksisterer med et fysisk USB-token. For veiledning om hvordan du bruker eSigner CKA for automatisert kodesignering i CI/CD-verktøy inkludert CircleCI, GitHub Actions, Gitlab CI og Travis CI, vennligst besøk denne siden: Hvordan integrere eSigner CKA med CI/CD-verktøy for automatisert kodesignering.

MERKNADER 

Dette instruksjonsmaterialet krever følgende: 

  1. Utstedt EV Code Signing-sertifikat. 
  2. EV-kodesigneringssertifikat må være registrert på eSigner for øyeblikket. Hvis dette ikke er tilfelle, vennligst se dette veiledningsartikkel
  3. En installert autentiseringsapp på mobiltelefonen din som Google autentiseringsapp.

 

Brukere kan signere kode med eSigners funksjon for utvidet valideringskodesignering. Klikk nedenfor for mer informasjon.

FINN UT MER

Formuler kommandolinjen

Komponenter i kommandolinjen

For både manuell og automatisert kodesignering, må du skrive inn kommandolinjen på tekstredigeringsprogrammet, som f.eks Ledetekst. Kommandolinjen inneholder:

  1. Plasseringen av SignTool (kommandolinjeverktøy som er ansvarlig for digital signering av en fil og verifiserer signaturen), vedlagt i parentes: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
  2. De /fd sha256 alternativ som spesifiserer Hash-algoritmen
  3. De / tr http://ts.ssl.com alternativ som spesifiserer tidsstempelserveradressen
  4. /td sha256 alternativ som spesifiserer tidsstempelsammendragsalgoritmen
  5. De /sha1 alternativ som spesifiserer tommelfingeravtrykket som SignTool bruker for å finne riktig kodesigneringssertifikat fra nøkkellageret
  6. Selve sertifikatets tommelfingeravtrykk
  7. Banen til filen som skal signeres, vedlagt i parentes: "SIGNABLE FILE PATH"

Alt i alt skal kommandolinjen se slik ut: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat thumbprint " SIGNERBAR FILBANE"

OBS: Som standard støtter SSL.com tidsstempler fra ECDSA-nøkler.

Hvis du støter på denne feilen: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte programvareleverandøren for å tillate tidsstempler fra ECDSA-nøkler.

Hvis det ikke er noen måte for programvareleverandøren din å tillate at det vanlige endepunktet brukes, kan du bruke dette eldre endepunktet http://ts.ssl.com/legacy for å få et tidsstempel fra en RSA Timestamping Unit.

Finne sertifikatets tommelfingeravtrykk

Senere, etter å ha installert eSigner CKA og lagt til EV Code Signing-sertifikatet til Butikk for brukersertifikater, vil du kunne sjekke EV Code Signing-sertifikatet thumbprint ved å trykke Windows-tasten + R og skriv deretter inn certmgr.msc for å få tilgang til brukersertifikatlageret. Når sertifikatbehandlingsvinduet dukker opp, klikker du på Personlig mappe på venstre panel og velg deretter sertifikater undermappe til høyre for å finne EV Code Signing-sertifikatet.

Dobbeltklikk på sertifikatet. Velg Detaljer og bla nedover for å avsløre tommelfingeravtrykket. Kopier tommelfingeravtrykket og inkluder det på kommandolinjen når du signerer koden.

Manuell kodesignering

Installer eSigner CKA

Når du velger installasjonsmodus, velg Manuell kodesignering og klikk deretter på OK-knappen.

Logg på eSigner CKA-programmet

Etter installasjon av eSigner CKA, åpne programmet og logg på med brukernavnet og passordet for SSL.com-kontoen din.

Ved vellykket pålogging vil du kunne se navnet på enheten som EV-kodesigneringssertifikatet ble utstedt til, serienummeret, utløpsdatoen og EVCS (Extended Validation Code Signing) akronym.

Skriv kommandolinjen i tekstredigereren

For å huske, ser kommandolinjen for kodesignering slik ut: 

"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat thumbprint " SIGNERBAR FILBANE"

Når du skriver kommandolinjen på tekstredigereren og trykker Enter, vil du se meldingen Ferdig med å legge til ekstra butikk. Et vindu vil da dukke opp som krever at du legger inn brukernavn og passord for SSL.com-kontoen din.

Skriv inn engangspassordet (OTP) 

Et engangspassord (OTP) for ditt eSigner-registrerte EV-kodesigneringssertifikat vil bli sendt til Authenticator-appen din. Ved vellykket inntasting vil ledeteksten indikere at filen din har blitt signert.

Sjekk den digitale signaturen på filen

Etter vellykket kodesignering kan du nå sjekke detaljene for den digitale signaturen på filen. Høyreklikk på den signerte filen, klikk Eiendommer, etterfulgt av Digitale signaturer Tab. Her vil du se navnet på underskriveren, sammendragsalgoritmen som brukes, og tidsstemplet til signaturen. Klikk på Detaljer for å få mer informasjon om den signerte koden.

Ved å klikke Detaljer, vil du kunne lese informasjonen som sier Denne digitale signaturen er OK. Fortsett til å klikke på Se sertifikat knapp.

Etter å ha klikket på Se sertifikat knappen, vil du lese informasjon som indikerer at det digitale sertifikatet som er utstedt for den signerte filen sikrer at den kom fra utgiveren og beskytter den mot endringer etter publisering.

Automatisert kodesignering

Installer eSigner CKA

Når du velger installasjonsmodus, velg Automatisert kodesignering og klikk deretter på OK-knappen.

Lagre hovednøkkelfilen

Et notat vil dukke opp som forklarer viktigheten av å sikre hovednøkkelfilen. Les den og klikk deretter på OK-knappen.

Et vindu vil da dukke opp som lar deg velge hvor du vil lagre hovednøkkelfilen.

Skriv inn brukernavn og passord for SSL.com-kontoen din

Skriv inn brukernavn og passord for SSL.com-kontoen din.

Skriv inn din eSigner Tidsbasert engangspassord (TOTP)

Plasser deretter ditt tidsbaserte engangspassord (TOTP). Du kan finne TOTP-en din inkludert i bestillingsdetaljene for EV Code Signing-sertifikat på SSL.com-kontoen din. Skriv inn den 4-sifrede PIN-koden som du tidligere har angitt da du registrerte bestillingen for eSigner, og klikk deretter på Vis QR-kode knappen for å avsløre TOTP.

Din TOTP vil vises på en boks merket hemmelig kode. Kopier TOTP, lim den inn på TOTP-hemmelighet feltet i eSigner CKA-vinduet og klikk deretter på OK knappen for å lagre den. 

Etter å ha lagt inn SSL.com-kontolegitimasjonen og TOTP, vil du kunne se detaljene for EV Code Signing-sertifikatet. I tilfelle du bestemmer deg for å oppdatere TOTP-en din, lim inn den nye TOTP-en i det tildelte feltet og klikk deretter Spar.

Skriv kommandolinjen i tekstredigereren

For å huske, ser kommandolinjen for kodesignering slik ut: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tegn /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 sertifikat thumbprint "SIGNABLE FILBANE”

Åpen Ledetekst og plasser kommandolinjen. Etter å ha trykket på enter, vil du se varselet Ferdig med å legge til ekstra butikk.

Etter noen sekunder vil du se varselet Vellykket signert. Dette indikerer at filen din har blitt signert på en automatisert måte, uten ekstra behov for engangstjenester. 

Sjekk tilstedeværelsen av den digitale signaturen på filen din

Åpne mappeplasseringen til den signerte filen. Høyreklikk den og klikk deretter Eiendommer. Klikk på fanen Digitale signaturer og her vil du se den sikre hash-algoritmen som brukes har 256 biter. Klikk på det umiddelbare feltet som viser navnet på underskriveren, sammendragsalgoritmen og tidsstempelet. Etter at den er uthevet, fortsett til å klikke på Detaljer knapp.

Et popup-vindu vil da vise som sier at den digitale signaturen på filen er gyldig, samt angir det spesifikke tidspunktet da den ble signert. Klikk på Se sertifikat for å se mer informasjon om det digitale sertifikatet for EV Code Signing som ble utstedt. 

Du vil se informasjon om EV Code Signing-sertifikatet som sier at det validerer deg som skaperen av den kjørbare filen og beskytter filen din mot å bli tuklet med. 

Slik tester du eSigner CKA med sandkassekontoen din

Installer eSigner CKA

Velg om du vil installere den i Håndbok or Automatisert modus

****Vær oppmerksom på at hvis du har valgt én modus, må du installere programmet på nytt før du kan teste det i den andre modusen.*****

Åpne Roaming-underkatalogen til Appdata

 For å teste eSigner CKA ved å bruke SSL.com-sandkassekontoen din, må du endre applikasjonens innstillinger i underkatalogen Roaming i AppData-mappen. Tast inn % Appdata% på Windows-søkefeltet for å ta deg direkte til roaming-underkatalogen til AppData.

Åpne eSigner Data fil med tekstredigereren din

Åpne eSignerCKA mappen, finn filen esignerapp.data, høyreklikk den og velg alternativet for å redigere filen ved hjelp av tekstredigeringsprogrammet, i dette tilfellet Notepad + +

Når du åpner tekstredigeringsprogrammet, vil du se verdisettene nedenfor.

Du kan dele verdisettene i påfølgende rader slik at de kan være enklere å redigere. 

Manuell modus testsignering

For testsignering i manuell modus bør følgende verdier være tilstede:

  1. Klient-ID-en skal være: qouezcczsqga93acb3lyq6lbnjgzdioxqc-kayc3umw
  2. Legg til -prøve på api_url
    Før: "api_url":"https://cs.ssl.com/csc/v0/
    Etter: "api_url":"https://cs-prøve.ssl.com/csc/v0/"
  3. Erstatt Logg inn med oauth-sandkasse på auth_url
    Før: "auth_url":"https://Logg inn.ssl.com/oauth2/token"
    Etter: "auth_url":"https://oauth-sandkasse.ssl.com/oauth2/token"
  4. "cred_mode": 0
  5. "master_key": null

Automatisert modus testsignering

For testsignering i automatisert modus bør følgende verdier være tilstede:

  1. Klient-ID-en skal være: qouezcczsqga93acb3lyq6lbnjgzdioxqc-kayc3umw
  2. Legg til -prøve på api_url
    Før: "api_url":"https://cs.ssl.com/csc/v0/
    Etter: "api_url":"https://cs-prøve.ssl.com/csc/v0/"
  3. Erstatt Logg inn med oauth-sandkasse på auth_url
    Før: "auth_url":"https://Logg inn.ssl.com/oauth2/token"
    Etter: "auth_url":"https://oauth-sandkasse.ssl.com/oauth2/token"
  4. "cred_mode": 1
  5. Erstatt null på master_key med den nøyaktige filbanen til din Hovednøkkel filen.
    Når du installerer eSigner CKA i automatisert modus for testformål, må du oppgi påloggingsinformasjonen for sandkassekontoen din. Årsaken er at ved automatisert kodesignering krypteres påloggingsinformasjonen med hovednøkkelen. Hvis du skriver inn påloggingsinformasjon for produksjon ved installasjon og senere endrer verdiene på esignerapp.data-filen etter et automatisert testformat, vil du ikke kunne gjennomføre tester fordi brukernavnet og passordet du har oppgitt ikke finnes i testmiljøet for sandkassen.

Logg på eSigner CKA ved å bruke din SSL.com-sandbox-kontolegitimasjon

Etter å ha endret verdiene på esignerapp.data, du kan nå teste EV-kodesigneringssertifikatet fra sandkassen ved å følge de samme trinnene som er skissert tidligere for et live-sertifikat.

Hvordan signere en Hardware Lab Kit-fil (HLK) ved hjelp av eSigner CKA og HLKSigntool

Hardware Lab Kit er et verktøy for å teste og klargjøre en kjernemodusdriver for innsending til Microsoft. For øyeblikket krever eSigner CKA også at HLKSigntool er installert for å kunne brukes i Microsofts HLK-programvare 

eSigner CKA må først installeres og konfigureres (bruker pålogget, og TOTP-hemmelig sett) før du kjører HLKSignTool.exe. 

Trinn 1. Installer og konfigurer eSigner CKA

Trinn 2. Bruk HLKSignTool med kommandolinjen nedenfor

Kommandolinje
HLKSignTool.exe certificate_serial “path_to_file”

Eksempel:

HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"

Hvordan signere VBA-makroer med eSigner CKA

Last ned og installer ved å bruke denne lenken Microsoft Office Subject Interface-pakker for digital signering av VBA-prosjekter ved å bruke denne lenken: https://www.microsoft.com/en-us/download/details.aspx?id=56617

OBS: Some users may encounter a failure in signing because VBA offers a SHA1 hash of the code to send to eSigner but eSigner requires SHA256 or greater. To resolve this. Microsoft anbefaler følgende:

Du kan legge til en DWORD registry key-value V1HashEnhanced to choose another hash algorithm, under HKCU\SOFTWARE\Microsoft\VBA\Security with value-algorithm rules (1 to SHA1, 2 to SHA256, 3 to SHA384, 4 to SHA512).

Når den er installert, utfør følgende trinn:

  1. Åpne en administrator ledetekst og skriv inn følgende, banen vil være der du nettopp installerte filene:

    regsvr32.exe

    regsvr32.exe

    For mer informasjon om hvordan du registrerer OLE-kontroller, besøk Microsofts nettsted.

    Hvis vellykket, vil du se en melding: "DIIRegister Server in lyktes."

  2. Installer følgende: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
  3. Installer eSigner CKA
  4. Kjør SignTool-kommandoen for å signere makroer: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Slik signerer du .app-filer med eSigner CKA

  1. Last ned Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113 
    Merk: Hvis du prøver å signere en .app fil ved hjelp av eSigner CKA uten først å installere Microsoft Dynamics 365 Business Central-applikasjon, vil du få denne SignTool-feilen: Dette filformatet kan ikke signeres fordi det ikke gjenkjennes.
  2. Åpne Dynamics.365.BC.55195.US.DVD.zip og trekke ut innholdet til ønsket sted.
  3. Åpen setup.exe forum Microsoft Dynamics 365 Business Central og klikk på Neste> knapp.
  4. Les lisensvilkårene for Microsoft-programvare, og klikk deretter på Jeg godtar > knapp.
  5. Velg Avanserte installasjonsalternativer
  6. Klikk Velg et installasjonsalternativ.
  7. Velg Server installasjonsalternativ.
  8. Klikk på Påfør knapp.
  9. Vent til installasjonen er fullført. Etter vellykket installasjon, klikk på Lukke knapp.
  10. Signer .app-filen din på SignTool: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Hvordan signere vsix-filer med eSigner CKA

  1. Last ned Dotnet Core SDK: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
  2. Installer OpenVsixSignTool
    dotnet tool install -g OpenVsixSignTool
  3. Bruk denne tegnkommandoen:
    OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamp http://ts.ssl.com -ta sha256 -fd sha256 "SIGNABLE FILE PATH"

Slik bruker du Malware Scan på eSigner CKA

Bruksanvisning:

  1. Logg på SSL.com-kontoen din. Klikk på bestillinger-fanen etterfulgt av nedlasting lenken til sertifikatet for å vise detaljene. Rull ned til SIGNERING AV KREDENSJONER og finn delen som viser legitimasjonen for eSigner-sertifikatet. Pass på at radioknappene som sier signeringslegitimasjon aktivert og malware blokkering aktivert er valgt.
  2. Installer eSigner Cloud Key Adapter.
  3. Installer eSigner CodeSignTool. Klikk her. for å laste ned eSigner CodeSignTool.
  4. Skann koden på CodeSignTool ved å bruke følgende kommando: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Bruk Sign Tool for å signere koden med eSigner CKA ved å bruke følgende kommando: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parametere:

  • -input_file_path=<PATH>: Sti for kodeobjektet som skal signeres.
  • -username=<USERNAME>SSL.com konto brukernavn
  • -password=<PASSWORD>SSL.com bruker passord.
  • -program_name=<PROGRAM_NAME>: Navn på programmet
  • -credential_id=<CREDENTIAL_ID>: Legitimasjons-ID for signering av sertifikat. Din eSigner-legitimasjons-ID er plassert i din SSL.com sertifikatbestillingsside.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.