Kodsignering med Azure Key Vault

Instruktioner för kodsignering från Windows-kommandoraden med ett certifikat och en privat nyckel lagrad i Azure Key Vault.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Denna guide är endast tillämplig på IV- och OV-kodsigneringscertifikat som utfärdades före 1 juni 2023. Från och med 1 juni 2023, SSL.coms organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat har utfärdats antingen på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller genom vår eSigner molnkodsigneringstjänst. Denna förändring är i överensstämmelse med Certificate Authority/Browser (CA/B) Forums nya nyckellagringskrav för att öka säkerheten för kodsigneringsnycklar.

Denna handledning visar hur du signerar filer från Windows-kommandoraden med ett kodsigneringscertifikat och en privat nyckel lagrad i Azure Key Vault. För att följa dessa instruktioner behöver du:

Vad är Azure Sign Tool?

Azure Sign Tool är ett open source-verktyg som erbjuder Signtool funktionalitet för certifikat och nycklar lagrade i Azure Key Vault. Du kan installera Azure Sign Tool med följande kommando i Windows PowerShell (kräver .NET SDK):

dotnet tool install --global AzureSignTool

[/ Su_note]

Steg 1: Registrera en ny Azure-applikation

Först måste du registrera en ny Azure-applikation så att du kan ansluta till ditt Key Vault för signering.

  1. Logga in på Azur portalen.
    Logga in i Azure
  2. Navigera till Azure Active Directory. (Klick Fler tjänster om Azure Active Directory-ikonen inte är synlig.)
    Azure Active Directory
  3. Klicka App-registreringar, i den vänstra kolumnen.
    Appregistreringar
  4. Klicka Ny registrering.
    Ny registrering
  5. Ge din ansökan en Namn och klicka på Registrera knapp. Lämna de andra inställningarna vid standardvärdena.
    Registrera ansökan
  6. Din nya ansökan har registrerats. Kopiera och spara det värde som visas för Program (klient) ID, för du kommer att behöva det senare.
    Program (klient) ID
  7. Klicka Autentisering.
    Autentisering
  8. Enligt avancerade inställningar, uppsättning Tillåt offentliga kundflöden till Yes.
    Tillåt offentliga kundflöden
  9. Klicka Save.
    Save

Steg 2: Skapa en klienthemlighet

Skapa sedan en klienthemlighet som fungerar som referens när du signerar.

  1. Klicka Certifikat & hemligheter i vänstra menyn.
    Certifikat & hemligheter
  2. Klicka Ny kundhemlighet.
    Ny kundhemlighet
  3. Ge din klienthemlighet en Beskrivning, ställ in giltighetstid efter önskemål och klicka på Lägg till knapp.
    Lägg till klienthemlighet
  4. kopiera Värde av din nya klienthemlighet blir omedelbart och spara den på en säker plats. Nästa gång sidan uppdateras kommer detta värde att maskeras och vara oåterkallelig.
    kopiera hemligt värde

Steg 3: Aktivera åtkomst i Key Vault

Nu måste du aktivera åtkomst för din applikation i Azure Key Vault.

  1. Navigera till Key Vault som innehåller certifikatet du vill använda för signering och klicka på Åtkomstpolicyer länken.
    Åtkomstpolicyer
  2. Klicka Lägg till åtkomstpolicy.
    Lägg till åtkomstpolicy
  3. Enligt Viktiga behörigheter, Gör det möjligt Sign.
    Aktivera tecken under nyckelbehörigheter
  4. Enligt Certifikatbehörigheter, Gör det möjligt Get.
    Aktivera Get under Certificate behörigheter
  5. Klicka på Ingen vald länk, under Välj huvud, använd sedan sökfältet för att hitta och välja det program du skapade i föregående avsnitt.
    Välj huvud
  6. Klicka på Välja knapp.
    Välja
  7. Klicka på Lägg till knapp.
    Lägg till
  8. Klicka Save.
    Save
  9. Din åtkomstpolicy är inställd och du är redo att börja signera filer.
    Färdig åtkomstpolicy

Steg 4: Signera en fil

Nu är du äntligen redo att underteckna lite kod!

  1. Du behöver följande information tillgänglig:
    • Din Key Vault URI (tillgänglig i Azure-portalen):
      Key Vault URI
    • Smakämnen vänligt namn av ditt certifikat i Key Vault:
      Certifikatnamn
    • Smakämnen Program (klient) ID värde från din Azure-applikation:
      Program (klient) ID
    • Smakämnen hemliga shopper du genererade ovan:
      kopiera hemligt värde
  2. Nedan följer ett exempel på ett kommando i PowerShell för att signera och tidsstämpla en fil med Azure Sign Tool. Ersätt värdena i ALL CAPS med din faktiska information:
    azuresigntool sign -kvu KEY-VAULT-URI -kvc CERTIFICATE-NAME -kvi APPLICATION-CLIENT-ID -kvs CLIENT-SECRET -tr http://ts.ssl.com/ -td sha256 PATH-TO-EXECUTABLE
    Notera: Som standard stöder SSL.com tidsstämplar från ECDSA-nycklar.

    Om du stöter på det här felet: The timestamp certificate does not meet a minimum public key length requirement, bör du kontakta din programvaruleverantör för att tillåta tidsstämplar från ECDSA-nycklar.

    Om det inte finns något sätt för din programvaruleverantör att tillåta att den normala slutpunkten används, kan du använda denna äldre slutpunkt http://ts.ssl.com/legacy för att få en tidsstämpel från en RSA Timestamping Unit.
  3. Om signering lyckas bör du se utdata på följande sätt (misslyckad signering ger ingen utdata):
    info: AzureSignTool.Program [0] => File: test.exe Signeringsfil test.exe info: AzureSignTool.Program [0] => File: test.exe Underteckningen slutfördes framgångsrikt för fil test.exe. info PS C: \ Users \ Aaron Russell \ Desktop>
  4. Detaljer om den nya digitala signaturen kommer att finnas i filegenskaperna:
    Detaljer om digital signatur
Notera: Författaren till Azure Sign Tool har också tillhandahållit en genomgång för att använda verktyget med Azure DevOps.

SSL.com s EV Kodsignering certifikat hjälper till att skydda din kod från obehörig manipulering och kompromissa med den högsta nivån av validering, och är tillgängliga för så lite som $ 249 per år. Du kan också använd ditt EV Code Signing-certifikat i stor skala i molnet med eSigner. Med sitt automatiserade alternativ är eSigner lämplig för företagskodsignering.

BESTÄLL NU

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.