Bu öğretici, Azure Key Vault'ta depolanan bir kod imzalama sertifikası ve özel anahtarla Windows komut satırından dosyaları nasıl imzalayacağınızı gösterecektir. Bu talimatları izlemek için ihtiyacınız olacak:
- An Azure hesabı
- A Anahtar Kasası
- A kod imzalama sertifikası Anahtar Kasanıza yüklenmiş. Aşağıdakilerden birini yapabilirsiniz:
- Azure Sign Aracı imzalamak için kullanacağınız bilgisayarda yüklü
Azure Sign Tool nedir?
Azure Sign Aracı sunan açık kaynaklı bir yardımcı programdır Signtool Azure Key Vault'ta depolanan sertifikalar ve anahtarlar için işlevsellik. Azure Sign Tool'u Windows PowerShell'de aşağıdaki komutla yükleyebilirsiniz (gerektirir .NET SDK'sı):
dotnet tool install --global AzureSignTool
1. Adım: Yeni bir Azure Uygulaması Kaydedin
Öncelikle, yeni bir Azure uygulaması kaydettirmeniz gerekir, böylece imzalama için Key Vault'unuza bağlanabilirsiniz.
- Oturum açın Azure portalı.
- Şu yöne rotayı ayarla Azure Active Directory. (tıklayın Daha fazla hizmet Azure Active Directory simgesi görünmüyorsa.)
- Tıkla Uygulama Kayıtları, sol sütunda.
- Tıkla Yeni Kayıt.
- Başvurunuza bir Name Ve tıklayın Kaydol buton. Diğer ayarları varsayılan değerlerinde bırakın.
- Yeni başvurunuz kaydedildi. İçin gösterilen değeri kopyalayın ve kaydedin. Uygulama (müşteri) kimliği, çünkü daha sonra ihtiyacınız olacak.
- Tıkla Doğrulama.
- Altında Gelişmiş Ayarlar, ayarla Herkese açık istemci akışlarına izin ver için
Yes
.
- Tıkla İndirim.
2. Adım: İstemci Sırrı Oluşturun
Ardından, imzalarken kimlik bilgisi görevi görecek bir istemci sırrı oluşturun.
- Tıkla Sertifikalar ve sırlar soldaki menüde.
- Tıkla Yeni müşteri sırrı.
- Müşterinize bir sır verin Açıklama, son kullanma tarihini istediğiniz gibi ayarlayın ve Ekle düğmesine basın.
- Kopya Özellik yeni müşterinizin sırrı hemen ve güvenli bir yerde saklayın. Sayfanın bir sonraki yenilenmesinde bu değer maskelenecek ve geri alınamaz.
3. Adım: Anahtar Kasasında Erişimi Etkinleştirin
Şimdi, Azure Key Vault'da uygulamanız için erişimi etkinleştirmeniz gerekecek.
- İmzalama için kullanmak istediğiniz sertifikayı içeren Anahtar Kasasına gidin ve Erişim politikaları bağlantı.
- Tıkla Erişim Politikası Ekle.
- Altında Temel İzinler, etkinleştirme
Sign
.
- Altında Sertifika izinleri, etkinleştirme
Get
.
- Tıkla Hiçbiri seçilmedi bağlantı, altında Müdür seçin, ardından önceki bölümde oluşturduğunuz uygulamayı bulup seçmek için arama alanını kullanın.
- Tıkla seç düğmesine basın.
- Tıkla Ekle düğmesine basın.
- Tıkla İndirim.
- Erişim politikanız belirlendi ve dosyaları imzalamaya hazırsınız.
4. Adım: Bir Dosyayı İmzalayın
Artık nihayet bir kod imzalamaya hazırsınız!
- Aşağıdaki bilgilere ihtiyacınız olacak:
- Aşağıda, PowerShell'de bir dosyayı Azure Sign Tool ile imzalamak ve zaman damgası oluşturmak için örnek bir komut verilmiştir. TÜM BÜYÜK HARF’teki değerleri gerçek bilgilerinizle değiştirin:
azuresigntool sign -kvu ANAHTAR-VAULT-URI -kvc SERTİFİKA-ADI -kvi UYGULAMA-İSTEMCİ-KİMLİĞİ -kvs İSTEMCİ-GİZLİ -tr http://ts.ssl.com/ -td sha256 YOL-UYGULANABİLİR
Not: Varsayılan olarak SSL.com, ECDSA anahtarlarından alınan zaman damgalarını destekler.
Bu hatayla karşılaşırsanız:The timestamp certificate does not meet a minimum public key length requirement
, ECDSA anahtarlarından zaman damgalarına izin vermek için yazılım satıcınızla iletişime geçmelisiniz.
Yazılım satıcınızın normal uç noktanın kullanılmasına izin vermesinin bir yolu yoksa, bu eski uç noktayı kullanabilirsiniz.http://ts.ssl.com/legacy
RSA Zaman Damgası Birimi'nden bir zaman damgası almak için. - İmzalama başarılıysa, aşağıdaki gibi çıktı görmelisiniz (başarısız imzalama çıktı üretmez):
info: AzureSignTool.Program [0] => Dosya: test.exe İmza dosyası test.exe bilgisi: AzureSignTool.Program [0] => Dosya: test.exe test.exe dosyası için imzalama başarıyla tamamlandı. bilgi PS C: \ Kullanıcılar \ Aaron Russell \ Masaüstü>
- Yeni dijital imza ile ilgili ayrıntılar dosya özelliklerinde mevcut olacaktır: