Podpisywanie kodu za pomocą usługi Azure Key Vault

Ten przewodnik ma zastosowanie tylko do certyfikatów podpisywania kodu IV i OV, które zostały wydane przed 1 czerwca 2023 r. Od 1 czerwca 2023 r., certyfikaty SSL.com Organization Validation (OV) i Individual Validation (IV) Code Signing Certificates zostały wydane na tokenach USB Federal Information Processing Standard 140-2 (FIPS 140-2) lub za pośrednictwem naszej usługi podpisywania kodu w chmurze eSigner. Ta zmiana jest zgodna z nowymi wymaganiami dotyczącymi przechowywania kluczy na forum urzędu certyfikacji/przeglądarki (CA/B), aby zwiększyć bezpieczeństwo kluczy do podpisywania kodu.

W tym samouczku pokazano, jak podpisywać pliki z wiersza polecenia systemu Windows za pomocą certyfikatu podpisywania kodu i klucza prywatnego przechowywanych w Azure Key Vault. Aby wykonać te instrukcje, będziesz potrzebować:

Co to jest narzędzie Azure Sign Tool?

Narzędzie Azure Sign Tool to narzędzie typu open source, które oferuje ZnakNarzędzie funkcjonalność dla certyfikatów i kluczy przechowywanych w Azure Key Vault. Narzędzie Azure Sign Tool można zainstalować za pomocą następującego polecenia w programie Windows PowerShell (wymaga SDK .NET):

dotnet tool install --global AzureSignTool

[/ su_note]

Krok 1: Zarejestruj nową aplikację platformy Azure

Najpierw musisz zarejestrować nową aplikację platformy Azure, aby można było połączyć się z Key Vault w celu podpisania.

  1. Zaloguj się do Portal Azure.
    Zaloguj się do platformy Azure
  2. Nawigować do Azure Active Directory. (Kliknij Więcej usług jeśli ikona Azure Active Directory nie jest widoczna).
    Azure Active Directory
  3. Kliknij Rejestracje aplikacji, w lewej kolumnie.
    Rejestracje aplikacji
  4. Kliknij Nowa rejestracja.
    Nowa rejestracja
  5. Nadaj swojej aplikacji Imię i kliknij Zarejestruj się przycisk. W pozostałych ustawieniach pozostaw wartości domyślne.
    Zarejestruj aplikację
  6. Twoja nowa aplikacja została zarejestrowana. Skopiuj i zapisz wyświetloną wartość Identyfikator aplikacji (klienta), ponieważ będziesz go potrzebować później.
    Identyfikator aplikacji (klienta)
  7. Kliknij Uwierzytelnianie.
    Uwierzytelnianie
  8. Pod Ustawienia zaawansowane, ustaw Zezwalaj na przepływy klientów publicznych do Yes.
    Zezwalaj na przepływy klientów publicznych
  9. Kliknij Zapisz.
    Zapisz

Krok 2: Utwórz klucz klienta

Następnie wygeneruj klucz klienta, który będzie służył jako poświadczenie podczas podpisywania.

  1. Kliknij Certyfikaty i tajemnice w menu po lewej stronie.
    Certyfikaty i tajemnice
  2. Kliknij Nowy sekret klienta.
    Nowy sekret klienta
  3. Podaj tajemnicę swojego klienta Opis, ustaw czas wygaśnięcia zgodnie z potrzebami i kliknij Dodaj przycisk.
    Dodaj klucz klienta
  4. Skopiuj wartość Twojego nowego klucza klienta natychmiast i zapisz go w bezpiecznym miejscu. Następnym razem, gdy strona zostanie odświeżona, ta wartość zostanie zamaskowana i nieodwracalna.
    skopiuj tajną wartość

Krok 3: Włącz dostęp w Key Vault

Teraz musisz włączyć dostęp do swojej aplikacji w Azure Key Vault.

  1. Przejdź do Key Vault zawierającego certyfikat, którego chcesz użyć do podpisywania, i kliknij Zasady dostępu łącze.
    Zasady dostępu
  2. Kliknij Dodaj zasady dostępu.
    Dodaj zasady dostępu
  3. Pod Kluczowe uprawnienia, włączyć Sign.
    Włącz znak w obszarze Uprawnienia klucza
  4. Pod Uprawnienia do certyfikatu, włączyć Get.
    Włącz uprawnienia Pobierz w ramach certyfikatu
  5. Kliknij Nie wybrano link pod Wybierz głównego zobowiązanego, a następnie użyj pola wyszukiwania, aby zlokalizować i wybrać aplikację utworzoną w poprzedniej sekcji.
    Wybierz głównego zobowiązanego
  6. Kliknij Wybierz przycisk.
    Wybierz
  7. Kliknij Dodaj przycisk.
    Dodaj
  8. Kliknij Zapisz.
    Zapisz
  9. Twoja polityka dostępu jest ustawiona i możesz rozpocząć podpisywanie plików.
    Zakończona polityka dostępu

Krok 4: Podpisz plik

Teraz jesteś w końcu gotowy do podpisania kodu!

  1. Będziesz potrzebować następujących dostępnych informacji:
    • Twój Identyfikator URI usługi Key Vault (dostępne w Azure Portal):
      Identyfikator URI usługi Key Vault
    • Połączenia przyjazne imię Twojego certyfikatu w Key Vault:
      Nazwa certyfikatu
    • Połączenia Identyfikator aplikacji (klienta) wartość z aplikacji platformy Azure:
      Identyfikator aplikacji (klienta)
    • Połączenia tajne shopper wygenerowałeś powyżej:
      skopiuj tajną wartość
  2. Poniżej znajduje się przykładowe polecenie w programie PowerShell do podpisywania i oznaczania czasu pliku za pomocą narzędzia Azure Sign Tool. Zastąp wartości WIELKIMI LITERAMI rzeczywistymi informacjami:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc NAZWA-CERTYFIKATU -kvi APLIKACJA-IDENTYFIKATOR-KLIENTA -kvs KLIENT-SEKRET -tr http://ts.ssl.com/ -td sha256 ŚCIEŻKA-DO WYKONANIA
    Uwaga: Domyślnie SSL.com obsługuje znaczniki czasu z kluczy ECDSA.

    Jeśli napotkasz ten błąd: The timestamp certificate does not meet a minimum public key length requirement, należy skontaktować się z dostawcą oprogramowania, aby zezwolił na sygnatury czasowe z kluczy ECDSA.

    Jeśli nie ma możliwości, aby dostawca oprogramowania zezwolił na użycie normalnego punktu końcowego, możesz użyć tego starszego punktu końcowego http://ts.ssl.com/legacy aby uzyskać znacznik czasu z jednostki znacznika czasu RSA.
  3. Jeśli podpisanie się powiedzie, powinieneś zobaczyć dane wyjściowe takie jak poniżej (nieudane podpisanie nie da wyniku):
    info: AzureSignTool.Program [0] => Plik: test.exe Plik podpisywania test.exe info: AzureSignTool.Program [0] => Plik: test.exe Podpisywanie zakończone pomyślnie dla pliku test.exe. info PS C: \ Users \ Aaron Russell \ Desktop>
  4. Szczegóły dotyczące nowego podpisu cyfrowego będą dostępne we właściwościach pliku:
    Szczegóły podpisu cyfrowego
Uwaga: Autor narzędzia Azure Sign Tool udostępnił również plik solucja za korzystanie z narzędzia z usługą Azure DevOps.

SSL.com's EV Podpisywanie kodu Certyfikaty pomagają chronić Twój kod przed nieautoryzowanym manipulowaniem i naruszeniem bezpieczeństwa z najwyższym poziomem walidacji i są dostępne za jedyne $ 249 rocznie. Można również używaj swojego certyfikatu EV Code Signing na dużą skalę w chmurze za pomocą eSigner. Dzięki zautomatyzowanej opcji eSigner nadaje się do podpisywania kodu korporacyjnego.

ZAMÓW TERAZ

Zapisz się do newslettera SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.