Kodesignering med Azure Key Vault

Instruksjoner for kodesignering fra Windows-kommandolinjen med et sertifikat og en privat nøkkel som er lagret i Azure Key Vault.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Denne veiledningen gjelder kun for IV- og OV-kodesigneringssertifikater som ble utstedt før 1. juni 2023. Fra 1. juni 2023, SSL.coms organisasjonsvalidering (OV) og individuell validering (IV) kodesigneringssertifikater er utstedt enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gjennom vår eSigner skykodesigneringstjeneste. Denne endringen er i samsvar med Certificate Authority/Browser (CA/B) Forums nye krav til nøkkellagring for å øke sikkerheten for kodesigneringsnøkler.

Denne opplæringen viser deg hvordan du signerer filer fra Windows-kommandolinjen med et kodesigneringssertifikat og en privat nøkkel som er lagret i Azure Key Vault. For å følge disse instruksjonene trenger du:

Hva er Azure Sign Tool?

Azure Sign Tool er et open source-verktøy som tilbyr SignTool funksjonalitet for sertifikater og nøkler som er lagret i Azure Key Vault. Du kan installere Azure Sign Tool med følgende kommando i Windows PowerShell (krever .NET SDK):

dotnet tool install --global AzureSignTool

[/ su_note]

Trinn 1: Registrer et nytt Azure-program

Først må du registrere et nytt Azure-program slik at du kan koble til Key Vault for signering.

  1. Logg deg på Azure portal.
    Logg på Azure
  2. naviger til Azure Active Directory. (Klikk Flere tjenester hvis Azure Active Directory-ikonet ikke er synlig.)
    Azure Active Directory
  3. Klikk Appregistreringer, i venstre kolonne.
    Appregistreringer
  4. Klikk Ny registrering.
    Ny registrering
  5. Gi søknaden din en Navn og klikk på Registrere knapp. La de andre innstillingene være på standardverdiene.
    Registrer søknad
  6. Den nye søknaden din er registrert. Kopier og lagre verdien som vises for Søknad (klient) IDfordi du trenger det senere.
    Søknad (klient) ID
  7. Klikk Autentisering.
    Autentisering
  8. Under Avanserte innstillinger, sett Tillat offentlige kundestrømmer til Yes.
    Tillat offentlige kundestrømmer
  9. Klikk Spar.
    Spar

Trinn 2: Opprett en klienthemmelighet

Deretter genererer du en klienthemmelighet som fungerer som legitimasjon når du signerer.

  1. Klikk Sertifikater og hemmeligheter i venstre meny.
    Sertifikater og hemmeligheter
  2. Klikk Ny klienthemmelighet.
    Ny klienthemmelighet
  3. Gi klientens hemmelighet en Beskrivelse, angi utløp som ønsket, og klikk på Legg til knapp.
    Legg til klienthemmelighet
  4. Kopier Verdi av din nye klienthemmelighet umiddelbart og lagre den på et trygt sted. Neste gang siden oppdateres, blir denne verdien maskert og uopprettelig.
    kopier hemmelig verdi

Trinn 3: Aktiver tilgang i Key Vault

Nå må du aktivere tilgang for applikasjonen din i Azure Key Vault.

  1. Naviger til Key Vault som inneholder sertifikatet du vil bruke til signering, og klikk på Tilgangspolicyer kobling.
    Tilgangspolicyer
  2. Klikk Legg til tilgangspolicy.
    Legg til tilgangspolicy
  3. Under Viktige tillatelser, Aktiver Sign.
    Aktiver Sign under Key Permissions
  4. Under Sertifikattillatelser, Aktiver Get.
    Aktiver Get under Certificate Permissions
  5. Klikk på Ingen valgt lenke, under Velg rektor, bruk deretter søkefeltet til å finne og velge applikasjonen du opprettet i forrige seksjon.
    Velg rektor
  6. Klikk på Plukke ut knapp.
    Plukke ut
  7. Klikk på Legg til knapp.
    Legg til
  8. Klikk Spar.
    Spar
  9. Tilgangspolicyen din er angitt, og du er klar til å begynne å signere filer.
    Retningslinjer for ferdig tilgang

Trinn 4: Signer en fil

Nå er du endelig klar til å signere litt kode!

  1. Du trenger følgende informasjon tilgjengelig:
    • Din Key Vault URI (tilgjengelig i Azure-portalen):
      Key Vault URI
    • De vennlig navn av sertifikatet ditt i Key Vault:
      Sertifikatnavn
    • De Søknad (klient) ID verdi fra Azure-applikasjonen din:
      Søknad (klient) ID
    • De hemmelig klient du genererte ovenfor:
      kopier hemmelig verdi
  2. Nedenfor er et eksempel på en kommando i PowerShell for å signere og tidsstemplere en fil med Azure Sign Tool. Erstatt verdiene i ALL CAPS med din faktiske informasjon:
    azuresigntool sign -kvu KEY-VALT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
    OBS: Som standard støtter SSL.com tidsstempler fra ECDSA-nøkler.

    Hvis du støter på denne feilen: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte programvareleverandøren for å tillate tidsstempler fra ECDSA-nøkler.

    Hvis det ikke er noen måte for programvareleverandøren din å tillate at det vanlige endepunktet brukes, kan du bruke dette eldre endepunktet http://ts.ssl.com/legacy for å få et tidsstempel fra en RSA Timestamping Unit.
  3. Hvis signering er vellykket, bør du se utdata som følger (mislykket signering gir ingen utdata):
    info: AzureSignTool.Program [0] => Fil: test.exe Signeringsfil test.exe info: AzureSignTool.Program [0] => File: test.exe Signering fullført for fil test.exe. info PS C: \ Brukere \ Aaron Russell \ Desktop>
  4. Detaljer om den nye digitale signaturen vil være tilgjengelig i filegenskapene:
    Detaljer om digital signatur
OBS: Forfatteren av Azure Sign Tool har også levert en walkthrough for bruk av verktøyet med Azure DevOps.

SSL.coms EV Kodesignering sertifikater bidrar til å beskytte koden din mot uautorisert tukling og kompromiss med det høyeste nivået av validering, og er tilgjengelige for så lite som $ 249 per år. Du kan også bruk EV Code Signing-sertifikatet i stor skala i skyen ved hjelp av eSigner. Med sitt automatiserte alternativ er eSigner egnet for signering av bedriftskode.

BESTILL NÅ

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.