Jak zautomatyzować podpisywanie kodów EV za pomocą Signtool.exe lub Certutil.exe przy użyciu eSigner CKA (adapter kluczy w chmurze)

Ten przewodnik pokazuje, jak zainstalować eSigner CKA i używać go do automatycznego i ręcznego podpisywania kodu w Signtool. 

eSigner CKA (adapter klucza w chmurze) to aplikacja oparta na systemie Windows, która korzysta z interfejsu CNG (KSP Key Service Provider), aby umożliwić narzędziom, takim jak certutil.exe i signtool.exe, korzystanie z interfejsu API zgodnego z eSigner Cloud Signature Consortium (CSC) do operacji podpisywania kodu przedsiębiorstwa. Działa jak wirtualny token USB i ładuje certyfikaty podpisywania kodu do magazynu certyfikatów.

eSigner CKA umożliwia elastyczne opcje automatyzacji podpisywania w procesach CI/CD, które nie istnieją z fizycznym tokenem USB. Aby uzyskać wskazówki dotyczące korzystania z eSigner CKA do automatycznego podpisywania kodu w narzędziach CI/CD, w tym CircleCI, GitHub Actions, Gitlab CI i Travis CI, odwiedź tę stronę: Jak zintegrować eSigner CKA z narzędziami CI/CD do automatycznego podpisywania kodu.

UWAGA 

Ten materiał instruktażowy wymaga: 

  1. Wydany certyfikat EV Code Signing. 
  2. Certyfikat podpisywania kodu EV musi być aktualnie zarejestrowany w eSigner. Jeśli tak nie jest, zapoznaj się z tym artykuł przewodnika
  3. Zainstalowaną aplikację uwierzytelniającą na telefonie komórkowym, taką jak aplikacja Google Authenticator.

 

Użytkownicy mogą podpisywać kod za pomocą funkcji eSigner Extended Validation Code Signing. Kliknij poniżej, aby uzyskać więcej informacji.

DOWIEDZ SIĘ WIĘCEJ

Sformułuj wiersz poleceń

Komponenty wiersza poleceń

Zarówno w przypadku ręcznego, jak i automatycznego podpisywania kodu, musisz wpisać wiersz poleceń w edytorze tekstu, na przykład Wiersz polecenia. Linia poleceń zawiera:

  1. Lokalizacja SignTool (narzędzia wiersza poleceń odpowiedzialnego za cyfrowe podpisanie pliku i weryfikację podpisu), ujęta w nawias: „C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe”
  2. Połączenia / fd sha256 opcja określająca algorytm skrótu
  3. Połączenia /tr http://ts.ssl.com opcja określająca adres serwera znacznika czasu
  4. /td sha256 opcja określająca algorytm skrótu sygnatury czasowej
  5. Połączenia /sha1 opcja, która określa odcisk palca, którego SignTool używa do znalezienia odpowiedniego certyfikatu podpisywania kodu z magazynu kluczy
  6. Rzeczywisty odcisk palca certyfikatu
  7. Ścieżka pliku, który zostanie podpisany, ujęta w nawias: „ŚCIEŻKA DO PLIKU SYGNAŁU”

Ogólnie wiersz poleceń powinien wyglądać następująco: 

„C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” znak /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 odcisk palca certyfikatu „ PODPISOWANA ŚCIEŻKA PLIKU”

Uwaga: Domyślnie SSL.com obsługuje znaczniki czasu z kluczy ECDSA.

Jeśli napotkasz ten błąd: The timestamp certificate does not meet a minimum public key length requirement, należy skontaktować się z dostawcą oprogramowania, aby zezwolił na sygnatury czasowe z kluczy ECDSA.

Jeśli nie ma możliwości, aby dostawca oprogramowania zezwolił na użycie normalnego punktu końcowego, możesz użyć tego starszego punktu końcowego http://ts.ssl.com/legacy aby uzyskać znacznik czasu z jednostki znacznika czasu RSA.

Lokalizowanie odcisku palca certyfikatu

Później, po zainstalowaniu eSigner CKA i dodaniu certyfikatu EV Code Signing do Magazyn certyfikatów użytkownika, będziesz mógł sprawdzić odcisk palca certyfikatu EV Code Signing, naciskając Klawisz Windows + R a następnie wpisz certmgr.msc aby uzyskać dostęp do magazynu certyfikatów użytkownika. Gdy pojawi się okno menedżera certyfikatów, kliknij personel folder na lewym panelu, a następnie wybierz certyfikaty podfolder po prawej stronie, aby zlokalizować certyfikat EV Code Signing.

Kliknij dwukrotnie certyfikat. Wybierz szczegóły zakładkę, a następnie przewiń w dół, aby wyświetlić odcisk kciuka. Skopiuj odcisk palca i dołącz go do wiersza poleceń podczas podpisywania kodu.

Ręczne podpisywanie kodu

Zainstaluj eSigner CKA

Wybierając tryb instalacji, wybierz Ręczne podpisywanie kodu a następnie kliknij przycisk OK.

Zaloguj się do programu eSigner CKA

Po zainstalowaniu eSigner CKA otwórz program i zaloguj się przy użyciu nazwy użytkownika i hasła do konta SSL.com.

Po pomyślnym zalogowaniu zobaczysz nazwę podmiotu, któremu wystawiono certyfikat podpisywania kodu EV, numer seryjny, datę ważności oraz EVCS (Extended Validation Code Signing) akronim.

Napisz wiersz poleceń w edytorze tekstu

Dla przypomnienia, wiersz poleceń do podpisywania kodu wygląda następująco: 

„C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” znak /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 odcisk palca certyfikatu „ PODPISOWANA ŚCIEŻKA PLIKU”

Po napisaniu wiersza poleceń w edytorze tekstu i naciśnięciu Wchodzę, zobaczysz wiadomość Zakończono dodawanie dodatkowego sklepu. Następnie pojawi się okno, w którym należy podać nazwę użytkownika i hasło do konta SSL.com.

Wprowadź hasło jednorazowe (OTP) 

Hasło jednorazowe (OTP) do certyfikatu podpisywania kodu EV zarejestrowanego w eSigner zostanie wysłane do Twojej aplikacji Authenticator. Po pomyślnym wprowadzeniu wiersz polecenia wskaże, że plik został pomyślnie podpisany.

Sprawdź podpis cyfrowy w pliku

Po udanym podpisaniu kodu możesz teraz sprawdzić szczegóły podpisu cyfrowego w pliku. Kliknij prawym przyciskiem myszy podpisany plik, kliknij Właściwości, a następnie Podpisy cyfrowe Patka. Tutaj zobaczysz nazwę osoby podpisującej, użyty algorytm skrótu oraz sygnaturę czasową podpisu. Kliknij Szczegóły przycisk, aby uzyskać więcej informacji o podpisanym kodzie.

Po kliknięciu Szczegóły, będziesz mógł przeczytać informacje stwierdzające Ten podpis cyfrowy jest w porządku. Przejdź do kliknięcia Wyświetl certyfikat przycisk.

Po kliknięciu Wyświetl certyfikat przycisk, przeczytasz informację wskazującą, że Certyfikat Cyfrowy wystawiony dla podpisanego pliku zapewnia, że ​​pochodzi on od wydawcy i chroni go przed zmianą po publikacji.

Automatyczne podpisywanie kodu

Zainstaluj eSigner CKA

Wybierając tryb instalacji, wybierz Automatyczne podpisywanie kodu a następnie kliknij przycisk OK.

Zapisz plik klucza głównego

Pojawi się notatka wyjaśniająca znaczenie zabezpieczenia pliku klucza głównego. Przeczytaj to, a następnie kliknij przycisk OK.

Następnie pojawi się okno, w którym możesz wybrać, gdzie chcesz zapisać plik klucza głównego.

Wpisz nazwę użytkownika i hasło do konta SSL.com

Wprowadź nazwę użytkownika i hasło do konta SSL.com.

Wpisz swojego eSignera Hasło jednorazowe oparte na czasie (TOTP)

Następnie umieść swoje jednorazowe hasło czasowe (TOTP). Możesz znaleźć swój TOTP zawarty w szczegółach zamówienia certyfikatu EV Code Signing na swoim koncie SSL.com. Wpisz 4-cyfrowy kod PIN, który ustawiłeś wcześniej podczas rejestracji zamówienia w eSigner, a następnie kliknij Pokaż kod QR przycisk, aby wyświetlić TOTP.

Twój TOTP zostanie wyświetlony w polu oznaczonym sekretny kod. Skopiuj TOTP, wklej go na Sekret TOTP pole okna eSigner CKA, a następnie kliknij OK przycisk, aby go zapisać. 

Po wprowadzeniu danych logowania do konta SSL.com i TOTP, będziesz mógł zobaczyć szczegóły swojego certyfikatu EV Code Signing. Jeśli zdecydujesz się zaktualizować TOTP, wklej nowy TOTP w przydzielonym polu, a następnie kliknij Zapisz.

Napisz wiersz poleceń w edytorze tekstu

Dla przypomnienia, wiersz poleceń do podpisywania kodu wygląda następująco: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” znak /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 odcisk palca certyfikatu „SIGNABLE ŚCIEŻKA PLIKU"

Otwarte Wiersz polecenia i umieść wiersz poleceń. Po naciśnięciu enter zobaczysz komunikat Zakończono dodawanie dodatkowego sklepu.

Po kilku sekundach zobaczysz powiadomienie Pomyślnie podpisano. Oznacza to, że Twój plik został podpisany w sposób zautomatyzowany, bez dodatkowej potrzeby stosowania haseł jednorazowych. 

Sprawdź obecność podpisu cyfrowego w swoim pliku

Otwórz lokalizację folderu podpisanego pliku. Kliknij prawym przyciskiem myszy, a następnie kliknij Właściwości. Kliknij na zakładkę Podpisy cyfrowe i tutaj zobaczysz, że użyty bezpieczny algorytm mieszający ma 256 bitów. Kliknij bezpośrednie miejsce z nazwą osoby podpisującej, algorytmem skrótu i ​​sygnaturą czasową. Po podświetleniu przejdź do kliknięcia Szczegóły przycisk.

Następnie pojawi się wyskakujące okienko z informacją, że podpis cyfrowy na pliku jest ważny, a także ze wskazaniem konkretnej godziny jego podpisania. Kliknij Wyświetl certyfikat , aby wyświetlić więcej informacji o wydanym certyfikacie cyfrowym EV Code Signing. 

Zobaczysz informacje o certyfikacie EV Code Signing, który potwierdza, że ​​jesteś twórcą pliku wykonywalnego i chroni Twój plik przed manipulacją. 

Jak przetestować eSigner CKA na koncie piaskownicy?

Zainstaluj eSigner CKA

Wybierz, czy chcesz zainstalować go w Instrukcja obsługi or zautomatyzowane tryb

****Pamiętaj, że jeśli wybrałeś jeden tryb, musisz ponownie zainstalować program, zanim będziesz mógł przetestować go w innym trybie.*****

Otwórz podkatalog Roaming Appdata

 Aby przetestować eSigner CKA przy użyciu konta piaskownicy SSL.com, musisz zmodyfikować ustawienia aplikacji w podkatalogu Roaming folderu AppData. Wchodzić %Dane aplikacji% na pasku wyszukiwania systemu Windows, aby przejść bezpośrednio do podkatalogu mobilnego AppData.

Otwórz eSigner Plik danych z twoim edytorem tekstu

Otwórz eSignerCKA folder, zlokalizuj plik esignerapp.data, kliknij prawym przyciskiem myszy i wybierz opcję edycji pliku za pomocą edytora tekstu, w tym przypadku Notepad + +

Po otwarciu edytora tekstu zobaczysz poniższe zestawy wartości.

Zestawy wartości można podzielić na kolejne wiersze, aby ułatwić ich edycję. 

Podpisywanie testów w trybie ręcznym

W przypadku podpisywania testowego w trybie ręcznym powinny być obecne następujące wartości:

  1. Identyfikator klienta powinien być: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Dodaj -próbować na api_url
    Wcześniej: „api_url”:”https://cs.ssl.com/csc/v0/
    Po: „api_url”:”https://cs-spróbuj.ssl.com/csc/v0/"
  3. zastąpić Zaloguj Się w Oauth-piaskownica na auth_url
    Wcześniej: „auth_url”:”https://Zaloguj Się.ssl.com/oauth2/token”
    Po: „auth_url”:”https://Oauth-piaskownica.ssl.com/oauth2/token”
  4. „tryb_kredytu”: 0
  5. „klucz_główny”: null

Podpisywanie testów w trybie automatycznym

W przypadku podpisywania testowego w trybie automatycznym powinny być obecne następujące wartości:

  1. Identyfikator klienta powinien być: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Dodaj -próbować na api_url
    Wcześniej: „api_url”:”https://cs.ssl.com/csc/v0/
    Po: „api_url”:”https://cs-spróbuj.ssl.com/csc/v0/"
  3. zastąpić Zaloguj Się w Oauth-piaskownica na auth_url
    Wcześniej: „auth_url”:”https://Zaloguj Się.ssl.com/oauth2/token”
    Po: „auth_url”:”https://Oauth-piaskownica.ssl.com/oauth2/token”
  4. „tryb_kredytu”: 1
  5. zastąpić zero na klucz_główny z dokładną ścieżką do Twojego pliku klucz główny plik.
    Instalując eSigner CKA w trybie automatycznym na potrzeby testów, musisz podać swoje dane logowania do konta sandbox. Powodem jest to, że w przypadku automatycznego podpisywania kodu dane logowania są szyfrowane za pomocą klucza głównego. Jeśli podczas instalacji wprowadzisz produkcyjne poświadczenia logowania, a później zmienisz wartości w pliku esignerapp.data zgodnie z automatycznym formatem testowania, nie będzie można przeprowadzić testów, ponieważ podana nazwa użytkownika i hasło nie są obecne w środowisku testowym piaskownicy.

Zaloguj się do eSigner CKA przy użyciu danych logowania do konta w piaskownicy SSL.com

Po zmianie wartości na esignerapp.data, możesz teraz przetestować swój certyfikat podpisywania kodu EV ze swojej piaskownicy, wykonując te same kroki, które opisano wcześniej dla certyfikatu na żywo.

Jak podpisać plik Hardware Lab Kit (HLK) za pomocą eSigner CKA i HLKSigntool

Hardware Lab Kit to narzędzie do testowania i przygotowywania sterownika trybu jądra do wysłania do firmy Microsoft. Obecnie eSigner CKA wymaga również zainstalowania HLKSigntool w celu użycia w oprogramowaniu HLK firmy Microsoft 

eSigner CKA należy najpierw zainstalować i skonfigurować (zalogowany użytkownik i zestaw tajny TOTP) przed uruchomieniem HLKSignTool.exe. 

Krok 1. Zainstaluj i skonfiguruj eSigner CKA

Krok 2. Użyj HLKSignTool z wierszem poleceń poniżej

Wiersz poleceń
HLKSignTool.exe serial_certyfikatu „ścieżka_do_pliku”

Przykład:

HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"

Jak podpisywać makra VBA za pomocą eSigner CKA

Pobierz i zainstaluj, korzystając z tego łącza Pakiety interfejsu tematycznego pakietu Microsoft Office do cyfrowego podpisywania projektów VBA, korzystając z tego łącza: https://www.microsoft.com/en-us/download/details.aspx?id=56617

Po zainstalowaniu wykonaj następujące kroki:

  1. Otwórz wiersz poleceń administratora i wpisz następujące polecenie. Ścieżka będzie wskazywała miejsce, w którym właśnie zainstalowałeś pliki:

    regsvr32.exe

    regsvr32.exe

    Więcej informacji na temat rejestrowania kontrolek OLE można znaleźć na stronie Witryna Microsoftu.

    Jeśli się powiedzie, zobaczysz komunikat: „DIIRegister Server in udało się.”

  2. Zainstaluj następujące elementy: download.microsoft.com/download/C/6/D/C6D0FD4E-9E53-4897-9B91-836EBA2AACD3/vcredist_x86.exe
  3. Zainstaluj eSigner CKA
  4. Uruchom polecenie SignTool, aby podpisać makra: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Jak podpisywać pliki .app za pomocą eSigner CKA

  1. Do pobrania Dynamics.365.BC.55195.US.DVD.zip at https://www.microsoft.com/en-US/download/details.aspx?id=105113 
    Uwaga: jeśli spróbujesz podpisać a .aplikacja plik przy użyciu eSigner CKA bez uprzedniej instalacji Microsoft aplikacji Dynamics 365 Business Central pojawi się następujący błąd SignTool: Nie można podpisać tego formatu pliku, ponieważ nie został rozpoznany.
  2. Otwórz Dynamics.365.BC.55195.US.DVD.zip i wyodrębnij zawartość do preferowanej lokalizacji.
  3. Otwarte setup.exe dla Microsoft Dynamics 365 Business Central i kliknij przycisk Następne> przycisk.
  4. Przeczytaj postanowienia licencyjne dotyczące oprogramowania firmy Microsoft, a następnie kliknij przycisk Akceptuję > przycisk.
  5. Dodaj Zaawansowane opcje instalacji
  6. Kliknij Wybierz opcję instalacji.
  7. Wybierz serwer opcja instalacji.
  8. Kliknij Dodaj przycisk.
  9. Poczekaj na zakończenie instalacji. Po pomyślnej instalacji kliknij przycisk Zamknij przycisk.
  10. Podpisz swój plik .app w SignTool: https://www.ssl.com/how-to/automate-ev-code-signing-with-signtool-or-certutil-esigner/#components-of-the-command-line

Jak podpisywać pliki vsix za pomocą eSigner CKA

  1. Pobierz zestaw SDK Dotnet Core: https://dotnet.microsoft.com/en-us/download/dotnet/7.0
  2. Zainstaluj OpenVsixSignTool
    dotnet tool install -g OpenVsixSignTool
  3. Użyj tego polecenia znaku:
    OpenVsixSignTool sign --sha1 CERTIFICATE THUMBPRINT --timestamp http://ts.ssl.com -ta sha256 -fd sha256 "SIGNABLE FILE PATH"

Jak korzystać ze skanowania złośliwego oprogramowania na eSigner CKA

Instrukcje:

  1. Zaloguj się do swojego konta SSL.com. Kliknij kartę zamówienia, a następnie przycisk pobieranie link do certyfikatu, aby wyświetlić jego szczegóły. Przewiń w dół do PODPISYWANIE OŚWIADCZEŃ sekcję i znajdź część zawierającą poświadczenia certyfikatu eSigner. Upewnij się, że przyciski opcji, które mówią poświadczenia podpisywania włączone włączone blokowanie złośliwego oprogramowania są wybrane.
  2. Zainstaluj adapter klucza chmury eSigner.
  3. Zainstaluj eSigner CodeSignTool. Kliknij tutaj aby pobrać eSigner CodeSignTool.
  4. Zeskanuj kod w CodeSignTool za pomocą następującego polecenia: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Użyj narzędzia do podpisywania, aby podpisać kod za pomocą eSigner CKA za pomocą następującego polecenia: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Parametry:

  • -input_file_path=<PATH>: Ścieżka obiektu kodu do podpisania.
  • -username=<USERNAME>SSL.com Nazwa użytkownika konta
  • -password=<PASSWORD>SSL.com hasło do konta.
  • -program_name=<PROGRAM_NAME>: Nazwa programu
  • -credential_id=<CREDENTIAL_ID>: Identyfikator poświadczeń do podpisania certyfikatu. Twój identyfikator uwierzytelniający eSigner znajduje się w Twoim SSL.com strona zamówienia certyfikatu.

Zapisz się do newslettera SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.