Assinatura de código com o Azure Key Vault

Este guia é aplicável apenas a certificados de assinatura de código IV e OV emitidos antes de 1º de junho de 2023. A partir de 1º de junho de 2023, os Certificados de Assinatura de Código de Validação de Organização (OV) e Validação Individual (IV) da SSL.com foram emitidos em tokens USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou por meio de nosso serviço de assinatura de código em nuvem eSigner. Esta alteração está em conformidade com os novos requisitos de armazenamento de chaves do Fórum de autoridade de certificação/navegador (CA/B) para aumentar a segurança das chaves de assinatura de código.

Este tutorial mostrará como assinar arquivos a partir da linha de comando do Windows com um certificado de assinatura de código e chave privada armazenados no Azure Key Vault. Para seguir essas instruções, você precisará de:

O que é a Azure Sign Tool?

Ferramenta de assinatura do Azure é um utilitário de código aberto que oferece Ferramenta de sinalização funcionalidade para certificados e chaves armazenados no Azure Key Vault. Você pode instalar a Azure Sign Tool com o seguinte comando no Windows PowerShell (requer SDK do .NET):

dotnet tool install --global AzureSignTool

[/ su_note]

Etapa 1: registrar um novo aplicativo do Azure

Primeiro, você precisará registrar um novo aplicativo do Azure para que possa se conectar ao Key Vault para assinatura.

  1. Faça login no Portal do Azure.
    Entrar no Azure
  2. Navegar para Azure Active Directory. (Clique Mais serviços se o ícone do Azure Active Directory não estiver visível.)
    Azure Active Directory
  3. Clique Registros de aplicativos, na coluna da esquerda.
    Registros de aplicativos
  4. Clique Novo registro.
    Novo registro
  5. Dê ao seu aplicativo um Nome E clique no Inscrições botão. Deixe as outras configurações com seus valores padrão.
    Registrar inscrição
  6. Seu novo aplicativo foi registrado. Copie e salve o valor mostrado para ID do aplicativo (cliente), porque você precisará dele mais tarde.
    ID do aplicativo (cliente)
  7. Clique Autenticação.
    Autenticação
  8. Debaixo Configurações avançadasconjunto Permitir fluxos de clientes públicos para Yes.
    Permitir fluxos de clientes públicos
  9. Clique Salvar.
    Salvar

Etapa 2: Criar um segredo do cliente

Em seguida, gere um segredo de cliente, que servirá como uma credencial ao assinar.

  1. Clique Certificados e segredos no menu à esquerda.
    Certificados e segredos
  2. Clique Novo segredo do cliente.
    Novo segredo do cliente
  3. Dê um segredo ao seu cliente Descrição, defina a validade conforme desejado e clique no Adicionar botão.
    Adicionar segredo do cliente
  4. Copie o Valor do seu novo segredo de cliente imediatamente e guarde-o em um local seguro. Na próxima vez que a página for atualizada, este valor será mascarado e irrecuperável.
    copiar valor secreto

Etapa 3: ativar o acesso no Key Vault

Agora, você precisará habilitar o acesso para seu aplicativo no Azure Key Vault.

  1. Navegue até o Key Vault que contém o certificado que deseja usar para assinar e clique no botão Políticas de acesso link.
    Políticas de Acesso
  2. Clique Adicionar política de acesso.
    Adicionar política de acesso
  3. Debaixo Permissões-chave, habilitar Sign.
    Habilitar Assinar nas Permissões-chave
  4. Debaixo Permissões de certificado, habilitar Get.
    Habilitar Obter em permissões de certificado
  5. Clique na Nenhum selecionado link, sob Selecione o principale, em seguida, use o campo de pesquisa para localizar e selecionar o aplicativo criado na seção anterior.
    Selecione o principal
  6. Clique na Selecionar botão.
    Selecionar
  7. Clique na Adicionar botão.
    Adicionar
  8. Clique Salvar.
    Salvar
  9. Sua política de acesso está definida e você está pronto para começar a assinar arquivos.
    Política de acesso concluído

Etapa 4: assinar um arquivo

Agora você está finalmente pronto para assinar algum código!

  1. Você precisará das seguintes informações disponíveis:
    • investimentos URI do Key Vault (disponível no portal do Azure):
      URI do Key Vault
    • A nome amigável do seu certificado no Key Vault:
      nome válido
    • A ID do aplicativo (cliente) valor do seu aplicativo Azure:
      ID do aplicativo (cliente)
    • A cliente secreto você gerou acima:
      copiar valor secreto
  2. Abaixo está um exemplo de comando no PowerShell para assinar e marcar a data e hora de um arquivo com a ferramenta de assinatura do Azure. Substitua os valores em MAIÚSCULAS pelas suas informações reais:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICADO-NOME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
    Nota: Por padrão, SSL.com oferece suporte a registros de data e hora de chaves ECDSA.

    Se você encontrar este erro: The timestamp certificate does not meet a minimum public key length requirement, você deve entrar em contato com o fornecedor do software para permitir registros de data e hora das chaves ECDSA.

    Se não houver como seu fornecedor de software permitir o uso do endpoint normal, você poderá usar esse endpoint legado http://ts.ssl.com/legacy para obter um registro de data e hora de uma unidade de registro de data e hora RSA.
  3. Se a assinatura for bem-sucedida, você verá uma saída como a seguinte (a assinatura malsucedida não produzirá nenhuma saída):
    info: AzureSignTool.Program [0] => Arquivo: test.exe Arquivo de assinatura test.exe info: AzureSignTool.Program [0] => Arquivo: test.exe Assinatura concluída com êxito para o arquivo test.exe. informações PS C: \ Usuários \ Aaron Russell \ Desktop>
  4. Detalhes sobre a nova assinatura digital estarão disponíveis nas propriedades do arquivo:
    Detalhes de assinatura digital
Nota: O autor da Azure Sign Tool também forneceu um Passo a passo para usar a ferramenta com o Azure DevOps.

SSL.com's EV Assinatura de código certificados ajudam a proteger seu código contra adulteração e comprometimento não autorizados com o mais alto nível de validação e estão disponíveis por apenas $ 249 por ano. Você também pode use seu certificado de assinatura de código EV em escala na nuvem usando eSigner. Com sua opção automatizada, o eSigner é adequado para assinatura de código empresarial.

PEÇA AGORA

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.