en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Como automatizar a assinatura de código EV com Signtool.exe ou Certutil.exe usando eSigner CKA (Cloud Key Adapter)

eSigner CKA (Adaptador de chave de nuvem) é um aplicativo baseado em Windows que usa a interface CNG (KSP Key Service Provider) para permitir que ferramentas como certutil.exe e signtool.exe usem o eSigner CSC para operações de assinatura. Ele age como um token USB virtual e carrega os certificados de assinatura de código para o armazenamento de certificados.

Esse recurso ajuda a tornar seu certificado eSigner mais flexível com opções para automatizar assinaturas em processos de CI/CD que não existem com um token USB físico.

NOTA 

Este material instrucional requer o seguinte: 

  1. Certificado de assinatura de código EV emitido. 
  2. Certificado de assinatura de código EV deve estar atualmente inscrito no eSigner. Se este não for o caso, consulte este artigo guia
  3. Um aplicativo autenticador instalado no seu celular, como o aplicativo autenticador do Google.

Os usuários podem assinar o código com o recurso de assinatura de código de validação estendida do eSigner. Clique abaixo para mais informações.

SAIBA MAIS

Formule a linha de comando

Componentes da linha de comando

Para assinatura de código manual e automatizada, você precisará digitar na linha de comando em seu editor de texto, como Prompt de comando. A linha de comando contém:

  1. A localização do SignTool (ferramenta de linha de comando responsável por assinar digitalmente um arquivo e verificar a assinatura), entre parênteses: “C:\Arquivos de Programas (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe”
  2. A /fd sha256 opção que especifica o algoritmo de hash
  3. A / tr http://ts.ssl.com opção que especifica o endereço do servidor de carimbo de data/hora
  4. /td sha256 opção que especifica o algoritmo de compilação de carimbo de data/hora
  5. A /sha1 opção que especifica a impressão digital que o SignTool usa para encontrar o certificado de assinatura de código apropriado no armazenamento de chaves
  6. A impressão digital do certificado real
  7. O caminho do arquivo que será assinado, entre parênteses: “SIGNABLE FILE PATH”

Em geral, a linha de comando deve se parecer com o seguinte: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 impressão digital do certificado “SIGNABLE CAMINHO DE ARQUIVO"

Localizando sua impressão digital de certificado

Mais tarde, ao instalar o eSigner CKA e adicionar seu certificado EVCS ao Armazenamento de certificados de usuário, você poderá verificar a impressão digital do seu certificado EVCS pressionando Tecla do Windows + R e então digite certmgr.msc para acessar o armazenamento de certificados de usuário. Quando a janela do gerenciador de certificados aparecer, clique no botão Pessoal pasta no painel esquerdo e, em seguida, selecione o certificados subpasta à direita para localizar seu certificado EVCS.

Clique duas vezes no certificado. Selecione os detalhes guia e, em seguida, role para baixo para revelar a impressão digital. Copie a impressão digital e inclua-a na linha de comando ao assinar o código.

Assinatura de código manual

Instale o eSigner CKA

Ao escolher o modo de instalação, selecione Assinatura de código manual e, em seguida, clique no botão OK.

Faça login no programa eSigner CKA

Após a instalação do eSigner CKA, abra o programa e faça o login usando o nome de usuário e a senha da sua conta SSL.com.

Após o login bem-sucedido, você poderá ver o nome da entidade para a qual o certificado de assinatura do código EV foi emitido, o número de série, a data de validade e o EVCS acrônimo.

Escreva a linha de comando no editor de texto

Para relembrar, a linha de comando para assinatura de código se parece com o seguinte: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 “CAMINHO DE ARQUIVO ASSINÁVEL”

Ao escrever a linha de comando em seu editor de texto e pressionar Entrar, você verá a mensagem Concluída a adição de loja adicional. Uma janela será exibida solicitando que você coloque o nome de usuário e a senha da sua conta SSL.com.

Digite a senha de uso único (OTP) 

Uma senha de uso único (OTP) para seu certificado de assinatura de código EV registrado no eSigner será enviada ao seu aplicativo Authenticator. Após a entrada bem-sucedida, o prompt de comando indicará que seu arquivo foi assinado com sucesso.

Verifique a assinatura digital no arquivo

Após a assinatura de código bem-sucedida, agora você pode verificar os detalhes da assinatura digital no arquivo. Clique com o botão direito do mouse no arquivo assinado, clique em Propriedades, seguido pelo Assinaturas digitais Aba. Aqui você verá o nome do Signatário, o algoritmo de resumo usado e o carimbo de data/hora da assinatura. Clique no Detalhes botão para obter mais informações sobre o código assinado.

Ao clicar Detalhes, você poderá ler as informações informando Esta assinatura digital está OK. Prossiga para clicar no Ver Certificado botão.

Depois de clicar no Ver Certificado botão, você lerá informações indicando que o Certificado Digital emitido para o arquivo assinado garante que ele veio da editora e o protege de alterações após a publicação.

Assinatura de código automatizada

Instale o eSigner CKA

Ao escolher o modo de instalação, selecione Assinatura de código automatizada e, em seguida, clique no botão OK.

Salve o arquivo de chave mestra

Uma nota aparecerá explicando a importância de proteger o Arquivo da Chave Mestra. Leia-o e clique no botão OK.

Uma janela será exibida permitindo que você escolha onde salvar o arquivo de chave mestra.

Digite as credenciais da sua conta SSL.com

Insira o nome de usuário e a senha da sua conta SSL.com.

Em seguida, coloque sua senha de uso único com base no tempo (TOTP). Você pode encontrar seu TOTP incluído nos detalhes do pedido do certificado de assinatura de código EV em sua conta SSL.com. Digite o PIN de 4 dígitos que você definiu anteriormente quando registrou seu pedido no eSigner e clique no botão Mostrar código QR botão para revelar o TOTP.

Seu TOTP será mostrado em uma caixa rotulada codigo secreto. Copie o TOTP, cole-o no Segredo TOTP campo da janela eSigner CKA e, em seguida, clique no OK botão para salvá-lo. 

Depois de inserir as credenciais da sua conta SSL.com e o TOTP, você poderá visualizar os detalhes do seu certificado EVCS. Caso você decida atualizar seu TOTP, cole o novo TOTP no campo atribuído e clique em Salvar.

Escreva a linha de comando no editor de texto

Para relembrar, a linha de comando para assinatura de código se parece com o seguinte: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 “CAMINHO DE ARQUIVO ASSINÁVEL”

Abre Prompt de comando, cole a linha de comando do arquivo a ser assinado. Depois de pressionar enter, você verá o aviso dizendo Concluída a adição de loja adicional.

Após alguns segundos, você verá o aviso Assinado com sucesso. Isso indica que seu arquivo foi assinado de forma automatizada, sem a necessidade adicional de OTPs. 

Verifique a presença da assinatura digital em seu arquivo

Abra o local da pasta do seu arquivo assinado. Clique com o botão direito do mouse e clique em Propriedades. Clique na aba Assinaturas digitais e aqui você verá que o algoritmo de hash seguro usado tem 256 bits. Clique no espaço imediato que mostra o nome do signatário, o algoritmo de resumo e o carimbo de data/hora. Depois de realçado, clique no botão Detalhes botão.

Uma janela pop-up mostrará informando que a assinatura digital no arquivo é válida, bem como indicando a hora específica em que foi assinado. Clique no Ver Certificado botão para ver mais informações sobre o certificado digital EVCS que foi emitido. 

Você verá informações sobre o certificado EVCS informando que ele o valida como o criador do executável e protege seu arquivo contra adulterações. 

Como testar o eSigner CKA com sua conta sandbox

Instale o eSigner CKA

Escolha se deseja instalá-lo em manual or Automatizado modo

****Tome nota que se você escolheu um modo, você tem que reinstalar o programa antes de poder testá-lo no outro modo.*****

Abra o subdiretório Roaming de Appdata

 Para testar o eSigner CKA usando sua conta de sandbox SSL.com, você deve modificar as configurações do aplicativo no subdiretório Roaming da pasta AppData. Entrar %Dados do aplicativo% na barra de pesquisa do Windows para levá-lo diretamente ao subdiretório de roaming de AppData.

Abrir eSigner Arquivo de dados com seu editor de texto

Abra o eSignerCKA pasta, localize o arquivo esignerapp.data, clique com o botão direito do mouse e escolha a opção de editar o arquivo usando seu editor de texto, neste caso Notepad + +

Ao abrir o editor de texto, você verá os conjuntos de valores abaixo.

Você pode separar os conjuntos de valores em linhas sucessivas para que sejam mais fáceis de editar. 

Assinatura de teste de modo manual

Para testar a assinatura no modo Manual, os seguintes valores devem estar presentes:

  1. O ID do cliente deve ser: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Adicionar -Experimente na api_url
    Antes: “api_url”:”https://cs.ssl.com/csc/v0/
    Depois: “api_url”:”https://cs-tentar.ssl.com/csc/v0/"
  3. substituir entrar com oauth-sandbox no auth_url
    Antes: “auth_url”:”https://entrar.ssl.com/oauth2/token”
    Depois: “auth_url”:”https://oauth-sandbox.ssl.com/oauth2/token”
  4. “cred_mode”: 0
  5. “master_key”: null

Assinatura de teste de modo automatizado

Para testar a assinatura no modo Automatizado, os seguintes valores devem estar presentes:

  1. O ID do cliente deve ser: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. Adicionar -Experimente na api_url
    Antes: “api_url”:”https://cs.ssl.com/csc/v0/
    Depois: “api_url”:”https://cs-tentar.ssl.com/csc/v0/"
  3. substituir entrar com oauth-sandbox no auth_url
    Antes: “auth_url”:”https://entrar.ssl.com/oauth2/token”
    Depois: “auth_url”:”https://oauth-sandbox.ssl.com/oauth2/token”
  4. “cred_mode”: 1
  5. substituir nulo em master_key com o caminho exato do arquivo do seu chave mestra arquivo.
    Ao instalar o eSigner CKA no modo automatizado para fins de teste, você deve fornecer as credenciais de login da sua conta de sandbox. O motivo é que, na assinatura automática de código, as credenciais de login são criptografadas usando a chave mestra. Se você inserir credenciais de login de produção na instalação e depois alterar os valores no arquivo esignerapp.data seguindo um formato de teste automatizado, não poderá realizar testes porque o nome de usuário e a senha fornecidos não estão presentes no ambiente de teste de sandbox.

Faça login no eSigner CKA usando as credenciais da sua conta de sandbox SSL.com

Após alterar os valores em esignerapp.data, agora você pode testar seu certificado de assinatura de código EV em seu sandbox seguindo as mesmas etapas descritas anteriormente para um certificado ativo.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com