eSigner CKA (Cloud Key Adapter) är en Windows-baserad applikation som använder CNG-gränssnittet (KSP Key Service Provider) för att tillåta verktyg som certutil.exe och signtool.exe att använda eSigner CSC API för signeringsoperationer. Den fungerar som en virtuell USB-token och laddar kodsigneringscertifikaten till certifikatarkivet. Den här funktionen hjälper till att göra ditt eSigner-certifikat mer flexibelt med alternativ för att automatisera signering i CI/CD-processer som inte finns med en fysisk USB-token.
Den här guiden visar hur man utför manuell och automatisk kodsignering på Windows SignTool med hjälp av ett produktionscertifikat eller testcertifikat.
Obs: eSigner CKA möjliggör flexibla alternativ för att automatisera signering i CI/CD-processer som inte finns med en fysisk USB-token. För vägledning om hur du använder eSigner CKA för automatisk kodsignering i CI/CD-verktyg inklusive CircleCI, GitHub Actions, Gitlab CI och Travis CI, besök den här sidan: Hur man integrerar eSigner CKA med CI/CD-verktyg för automatisk kodsignering.
Krav
- Ett kodsigneringscertifikat utfärdat av SSLcom.
- Kodsigneringscertifikat måste för närvarande vara registrerat på eSigner. Se den här guiden: Registrera dig med eSigner för fjärrsignering av dokument och kod
- Installera eSigner CKA på din dator och konfigurera signeringsläget (manuellt eller automatiserat) och typen av signering (produktion eller test). Se den här artikeln för installationsinstruktioner: Hur man installerar SSL.com eSigner Cloud Key Adapter (CKA).
Valfri procedur: Använd skanning av skadlig programvara i förväg
Malware Scan är en viktig tjänst från SSL.com som säkerställer att programvara är fri från skadlig programvara innan den signeras med ett kodsigneringscertifikat. Genom att integrera Malware Scan lägger utvecklare till ett robust lager av säkerhet, som automatiskt stoppar signeringsprocessen om skadlig programvara upptäcks och varnar utvecklaren att vidta nödvändiga åtgärder.
Instruktioner:
- Logga in på ditt SSL.com-konto. Klicka på fliken beställningar följt av ladda ner länken till ditt certifikat för att visa dess detaljer. Scrolla ner till UNDERTECKNINGAR och leta reda på den del som visar dina eSigner-certifikatuppgifter. Se till att radioknapparna som säger signeringsuppgifter aktiverade och malware blockerare aktiverad väljs.
- Installera eSigner Cloud Key Adapter.
- Installera eSigner CodeSignTool. Klick här. för att ladda ner eSigner CodeSignTool.
- Skanna koden på CodeSignTool med följande kommando:
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
- Använd SignTool för att signera koden med eSigner CKA med följande kommando:
scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>
Parametrar:
-input_file_path=<PATH>
: Sökväg till kodobjekt som ska signeras.-username=<USERNAME>
: SSL.com kontots användarnamn-password=<PASSWORD>
: SSL.com konto lösenord.-program_name=<PROGRAM_NAME>
: Namn på programmet-credential_id=<CREDENTIAL_ID>
: Autentiserings-ID för signering av certifikat. Ditt eSigner-ID finns i ditt SSL.com certifikatbeställningssida.
Formulera kommandot för att signera koden
Komponenter i kommandot
För både manuell och automatisk kodsignering, kommandot innehåller:
- Platsen för SignTool (kommandoradsverktyg som ansvarar för digital signering av en fil och verifierar signaturen), omsluten av dubbla citattecken. Exempel: "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe"
Obs: Placeringen av SignTool beror på vilken version av SDK:n som laddas ner och vilken arkitektur som används. - Smakämnen /fd sha256 alternativ som anger Hash-algoritmen
- Smakämnen /tr http://ts.ssl.com alternativ som anger tidsstämpelserveradressen
- /td sha256 alternativ som anger tidsstämpelsammandragningsalgoritmen
- Smakämnen /sha1 alternativ som anger tumavtrycket som SignTool använder för att hitta rätt kodsigneringscertifikat från nyckellagret
- Den riktiga certifikatets tumavtryck
- Sökvägen till filen som kommer att signeras, omgiven av dubbla citattecken: "SIGNABLE FILE PATH"
Sammantaget bör kommandot se ut så här:
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tecken /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat tumavtryck " SIGNERBAR FILVÄG”.
Om du stöter på det här felet:
The timestamp certificate does not meet a minimum public key length requirement
, bör du kontakta din programvaruleverantör för att tillåta tidsstämplar från ECDSA-nycklar.Om det inte finns något sätt för din programvaruleverantör att tillåta att den normala slutpunkten används, kan du använda denna äldre slutpunkt
http://ts.ssl.com/legacy
för att få en tidsstämpel från en RSA Timestamping Unit.
Hitta ditt certifikats tumavtryck
Senare, när du installerar eSigner CKA och lägger till ditt EV Code Signing-certifikat till Användarcertifikatbutik, kommer du att kunna kontrollera ditt EV Code Signing-certifikats tumavtryck genom att trycka på Windows-tangenten + R och skriv sedan in certmgr.msc för att komma åt användarcertifikatarkivet. När certifikathanteraren dyker upp klickar du på Personlig mapp på den vänstra panelen och välj sedan Certifieringar undermappen till höger för att hitta ditt EV Code Signing-certifikat.
Dubbelklicka på certifikatet. Välj Detaljer fliken och scrolla sedan ned för att visa tumavtrycket. Kopiera tumavtrycket och inkludera det i ditt kommando när du signerar koden.
Manuell kodsignering
Installera eSigner CKA
Få åtkomst till SignTool via kommandoraden
För att komma ihåg ser kommandot för kodsignering ut så här:
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tecken /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat tumavtryck " SIGNERBAR FILVÄG”
När du skriver kommandot och trycker på ange, kommer du att se meddelandet Klar med att lägga till ytterligare butik. Ett fönster kommer då att dyka upp som kräver att du anger ditt SSL.com-kontos användarnamn och lösenord.
Ange One Time Password (OTP)
Ett engångslösenord (OTP) för ditt eSigner-registrerade EV Code Signing-certifikat skickas till din Authenticator-app. Vid lyckad inmatning kommer kommandotolken att indikera att din fil har signerats.
Framgång! Din kod är nu signerad.
Kontrollera den digitala signaturen på filen
Efter framgångsrik kodsignering kan du nu kontrollera detaljerna för den digitala signaturen på filen. Högerklicka på den signerade filen, klicka Våra Bostäderföljt av Digitala signaturer Flik. Här kommer du att se namnet på undertecknaren, sammanfattningsalgoritmen som används och signaturens tidsstämpel. Klicka på Detaljer för att få mer information om den signerade koden.
Du kommer att kunna läsa informationen om Den här digitala signaturen är OK. Fortsätt att klicka på Se certifikat knapp.
När du klickat på Se certifikat knappen, kommer du att läsa information som indikerar att det digitala certifikatet som utfärdats för den signerade filen säkerställer att den kom från utgivaren och skyddar den från ändringar efter publicering.
Automatiserad kodsignering
Öppna SignTool via kommandot
För att komma ihåg ser kommandot för kodsignering ut så här:
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" tecken /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certifikat tumavtryck "SIGNABLE SÖKVÄG"
Öppen kommando~~POS=TRUNC och placera kommandot. När du har tryckt på enter kommer du att se meddelandet Klar med att lägga till ytterligare butik.
Efter några sekunder ser du meddelandet Undertecknad framgångsrikt. Detta indikerar att din fil har signerats på ett automatiskt sätt, utan ytterligare behov av OTP.
Kontrollera förekomsten av den digitala signaturen på din fil
Öppna mappplatsen för din signerade fil. Högerklicka på den och klicka sedan Våra Bostäder. Klicka på fliken Digitala signaturer och här ser du att den använda säkra hashalgoritmen har 256 bitar. Klicka på det omedelbara utrymmet som visar namnet på undertecknaren, sammanfattningsalgoritmen och tidsstämpeln. När den har markerats fortsätter du att klicka på Detaljer knapp.
Ett popup-fönster kommer då att visa att den digitala signaturen på filen är giltig samt anger den specifika tidpunkten då den signerades. Klicka på Se certifikat knappen för att se mer information om det digitala certifikatet för EV Code Signing som utfärdades.
Du kommer att se information om EV Code Signing-certifikatet som anger att det validerar dig som skaparen av den körbara filen och skyddar din fil från att manipuleras.
Relaterade guider för kodsignering med eSigner CKA
- Hur man signerar en Hardware Lab Kit-fil (HLK) med eSigner CKA och HLKSigntool. Hardware Lab Kit (HLK) används för att testa och förbereda drivrutiner för kärnläge för inlämning till Microsoft. För integration med Microsofts HLK-plattform kräver eSigner CKA även installationen av HLKSigntool.
- Hur man signerar VBA-makron med eSigner CKA. Med Microsoft Visual Basic for Applications (VBA) kan de utan programmeringsexpertis spela in, skapa och ändra makron som automatiserar repetitiva uppgifter i Office-program.
- Hur man signerar .app-filer med eSigner CKA. Microsoft_Application.app-filen innehåller heltäckande alla tillägg som utgör en lösning, och erbjuder en effektiv metod för att definiera och referera till denna lösnings identitet.
- Hur man signerar vsix-filer med eSigner CKA. A
.vsix
file är ett installationspaket för tillägg och tillägg för Visual Studio, Microsofts integrerade utvecklingsmiljö (IDE).