SSL.com

Assinatura de código com o Azure Key Vault

Equipe de Suporte SSL.com

Este guia é aplicável apenas a certificados de assinatura de código IV e OV emitidos antes de 1º de junho de 2023. A partir de 1º de junho de 2023, os Certificados de Assinatura de Código de Validação de Organização (OV) e Validação Individual (IV) da SSL.com foram emitidos em tokens USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou por meio de nosso serviço de assinatura de código em nuvem eSigner. Esta alteração está em conformidade com os novos requisitos de armazenamento de chaves do Fórum de autoridade de certificação/navegador (CA/B) para aumentar a segurança das chaves de assinatura de código.

Este tutorial mostrará como assinar arquivos a partir da linha de comando do Windows com um certificado de assinatura de código e chave privada armazenados no Azure Key Vault. Para seguir essas instruções, você precisará de:

O que é a Azure Sign Tool?

Ferramenta de assinatura do Azure é um utilitário de código aberto que oferece Ferramenta de sinalização funcionalidade para certificados e chaves armazenados no Azure Key Vault. Você pode instalar a Azure Sign Tool com o seguinte comando no Windows PowerShell (requer SDK do .NET):

dotnet tool install --global AzureSignTool

[/ su_note]

Etapa 1: registrar um novo aplicativo do Azure

Primeiro, você precisará registrar um novo aplicativo do Azure para que possa se conectar ao Key Vault para assinatura.

  1. Faça login no Portal do Azure.
    Entrar no Azure
  2. Navegar para Azure Active Directory. (Clique Mais serviços se o ícone do Azure Active Directory não estiver visível.)
  3. Clique Registros de aplicativos, na coluna da esquerda.
  4. Clique Novo registro.
  5. Dê ao seu aplicativo um Nome E clique no Inscrições botão. Deixe as outras configurações com seus valores padrão.
  6. Seu novo aplicativo foi registrado. Copie e salve o valor mostrado para ID do aplicativo (cliente), porque você precisará dele mais tarde.
  7. Clique Autenticação.
  8. Debaixo Configurações avançadasconjunto Permitir fluxos de clientes públicos para Yes.
  9. Clique Salvar.
Ir para o início

Etapa 2: Criar um segredo do cliente

Em seguida, gere um segredo de cliente, que servirá como uma credencial ao assinar.

  1. Clique Certificados e segredos no menu à esquerda.
  2. Clique Novo segredo do cliente.
  3. Dê um segredo ao seu cliente Descrição, defina a validade conforme desejado e clique no Adicionar botão.
  4. Copie o Valor do seu novo segredo de cliente imediatamente e guarde-o em um local seguro. Na próxima vez que a página for atualizada, este valor será mascarado e irrecuperável.
Ir para o início

Etapa 3: ativar o acesso no Key Vault

Agora, você precisará habilitar o acesso para seu aplicativo no Azure Key Vault.

  1. Navegue até o Key Vault que contém o certificado que deseja usar para assinar e clique no botão Políticas de acesso link.
  2. Clique Adicionar política de acesso.
  3. Debaixo Permissões-chave, habilitar Sign.
  4. Debaixo Permissões de certificado, habilitar Get.
  5. Clique na Nenhum selecionado link, sob Selecione o principale, em seguida, use o campo de pesquisa para localizar e selecionar o aplicativo criado na seção anterior.
  6. Clique na Selecionar botão.
  7. Clique na Adicionar botão.
  8. Clique Salvar.
  9. Sua política de acesso está definida e você está pronto para começar a assinar arquivos.
Ir para o início

Etapa 4: assinar um arquivo

Agora você está finalmente pronto para assinar algum código!

  1. Você precisará das seguintes informações disponíveis:
    • investimentos URI do Key Vault (disponível no portal do Azure):
    • A nome amigável do seu certificado no Key Vault:
    • A ID do aplicativo (cliente) valor do seu aplicativo Azure:
    • A cliente secreto você gerou acima:
  2. Abaixo está um exemplo de comando no PowerShell para assinar e marcar a data e hora de um arquivo com a ferramenta de assinatura do Azure. Substitua os valores em MAIÚSCULAS pelas suas informações reais: 
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICADO-NOME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
    Observação: Por padrão, SSL.com oferece suporte a registros de data e hora de chaves ECDSA.

    Se você encontrar este erro: The timestamp certificate does not meet a minimum public key length requirement, você deve entrar em contato com o fornecedor do software para permitir registros de data e hora das chaves ECDSA.

    Se não houver como seu fornecedor de software permitir o uso do endpoint normal, você poderá usar esse endpoint legado http://ts.ssl.com/legacy para obter um registro de data e hora de uma unidade de registro de data e hora RSA.
  3. Se a assinatura for bem-sucedida, você verá uma saída como a seguinte (a assinatura malsucedida não produzirá nenhuma saída): 
    info: AzureSignTool.Program [0] => Arquivo: test.exe Arquivo de assinatura test.exe info: AzureSignTool.Program [0] => Arquivo: test.exe Assinatura concluída com êxito para o arquivo test.exe. informações PS C: \ Usuários \ Aaron Russell \ Desktop>
  4. Detalhes sobre a nova assinatura digital estarão disponíveis nas propriedades do arquivo:
Observação: O autor da Azure Sign Tool também forneceu um Passo a passo para usar a ferramenta com o Azure DevOps.

SSL.com's EV Assinatura de código certificados ajudam a proteger seu código contra adulteração e comprometimento não autorizados com o mais alto nível de validação e estão disponíveis por apenas $ 249 por ano. Você também pode use seu certificado de assinatura de código EV em escala na nuvem usando eSigner. Com sua opção automatizada, o eSigner é adequado para assinatura de código empresarial.

PEÇA AGORA

Sair da versão móvel