Kodesignering med Azure Key Vault

Denne opplæringen viser deg hvordan du signerer filer fra Windows-kommandolinjen med et kodesigneringssertifikat og en privat nøkkel som er lagret i Azure Key Vault. For å følge disse instruksjonene trenger du:

• An Azure-konto
• A Nøkkelhvelv
• A kodesigneringssertifikat installert i Key Vault. Du kan enten:
  • Generer en CSR og installer et sertifikat i Key Vault or
  • Importer et sertifikat til Key Vault
• Azure Sign Tool installert på datamaskinen du vil bruke til signering

Hva er Azure Sign Tool?

Azure Sign Tool er et open source-verktøy som tilbyr SignTool funksjonalitet for sertifikater og nøkler som er lagret i Azure Key Vault. Du kan installere Azure Sign Tool med følgende kommando i Windows PowerShell (krever .NET SDK):

dotnet tool install --global AzureSignTool

Trinn 1: Registrer et nytt Azure-program

Først må du registrere et nytt Azure-program slik at du kan koble til Key Vault for signering.

1. Logg deg på Azure portal.
   
2. naviger til Azure Active Directory. (Klikk Flere tjenester hvis Azure Active Directory-ikonet ikke er synlig.)
   
3. Klikk Appregistreringer, i venstre kolonne.
   
4. Klikk Ny registrering.
   
5. Gi søknaden din en Navn og klikk på Registrere knapp. La de andre innstillingene være på standardverdiene.
   
6. Den nye søknaden din er registrert. Kopier og lagre verdien som vises for Søknad (klient) IDfordi du trenger det senere.
   
7. Klikk Autentisering.
   
8. Under Avanserte innstillinger, sett Tillat offentlige kundestrømmer til Yes.
   
9. Klikk Spar.
   

Trinn 2: Opprett en klienthemmelighet

Deretter genererer du en klienthemmelighet som fungerer som legitimasjon når du signerer.

1. Klikk Sertifikater og hemmeligheter i venstre meny.
   
2. Klikk Ny klienthemmelighet.
   
3. Gi klientens hemmelighet en Beskrivelse, angi utløp som ønsket, og klikk på Legg til knapp.
   
4. Kopier Verdi av din nye klienthemmelighet umiddelbart og lagre den på et trygt sted. Neste gang siden oppdateres, blir denne verdien maskert og uopprettelig.
   

Trinn 3: Aktiver tilgang i Key Vault

Nå må du aktivere tilgang for applikasjonen din i Azure Key Vault.

1. Naviger til Key Vault som inneholder sertifikatet du vil bruke til signering, og klikk på Tilgangspolicyer kobling.
   
2. Klikk Legg til tilgangspolicy.
   
3. Under Viktige tillatelser, Aktiver Sign.
   
4. Under Sertifikattillatelser, Aktiver Get.
   
5. Klikk på Ingen valgt lenke, under Velg rektor, bruk deretter søkefeltet til å finne og velge applikasjonen du opprettet i forrige seksjon.
   
6. Klikk på Plukke ut knapp.
   
7. Klikk på Legg til knapp.
   
8. Klikk Spar.
   
9. Tilgangspolicyen din er angitt, og du er klar til å begynne å signere filer.
   

Trinn 4: Signer en fil

Nå er du endelig klar til å signere litt kode!

1. Du trenger følgende informasjon tilgjengelig:
   • Din Key Vault URI (tilgjengelig i Azure-portalen):
     
   • De vennlig navn av sertifikatet ditt i Key Vault:
     
   • De Søknad (klient) ID verdi fra Azure-applikasjonen din:
     
   • De hemmelig klient du genererte ovenfor:
     
2. Nedenfor er et eksempel på en kommando i PowerShell for å signere og tidsstemplere en fil med Azure Sign Tool. Erstatt verdiene i ALL CAPS med din faktiske informasjon:

   azuresigntool sign -kvu KEY-VALT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE

   OBS: Som standard støtter SSL.com tidsstempler fra ECDSA-nøkler.
   
   Hvis du støter på denne feilen: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte programvareleverandøren for å tillate tidsstempler fra ECDSA-nøkler.
   
   Hvis det ikke er noen måte for programvareleverandøren din å tillate at det vanlige endepunktet brukes, kan du bruke dette eldre endepunktet http://ts.ssl.com/legacy for å få et tidsstempel fra en RSA Timestamping Unit.
3. Hvis signering er vellykket, bør du se utdata som følger (mislykket signering gir ingen utdata):

   info: AzureSignTool.Program [0] => Fil: test.exe Signeringsfil test.exe info: AzureSignTool.Program [0] => File: test.exe Signering fullført for fil test.exe. info PS C: \ Brukere \ Aaron Russell \ Desktop>

4. Detaljer om den nye digitale signaturen vil være tilgjengelig i filegenskapene: