Cách tự động hóa việc ký mã EV bằng SignTool.exe hoặc Certutil.exe bằng eSigner CKA (Cloud Key Adapter)

Nội dung liên quan

Bạn muốn tiếp tục học hỏi?

Đăng ký nhận bản tin của SSL.com, luôn cập nhật thông tin và bảo mật.

Sao chép liên kết bài viết

eSigner CKA (Bộ điều hợp phím đám mây) là một ứng dụng dựa trên Windows sử dụng giao diện CNG (Nhà cung cấp dịch vụ khóa KSP) để cho phép các công cụ như certutil.exe và signtool.exe sử dụng API eSigner CSC để ký các hoạt động. Nó hoạt động như một mã thông báo USB ảo và tải các chứng chỉ ký mã vào kho lưu trữ chứng chỉ. Tính năng này giúp chứng chỉ eSigner của bạn linh hoạt hơn với các tùy chọn tự động hóa việc ký trong các quy trình CI/CD mà không cần đến mã thông báo USB vật lý.

Hướng dẫn này chỉ cách thực hiện ký mã thủ công và tự động trên Windows SignTool bằng chứng chỉ sản xuất hoặc chứng chỉ thử nghiệm. 

Lưu ý: eSigner CKA cho phép các tùy chọn linh hoạt để tự động hóa việc ký trong các quy trình CI/CD không tồn tại với mã thông báo USB vật lý. Để biết hướng dẫn về cách sử dụng eSigner CKA để ký mã tự động trong các công cụ CI/CD bao gồm CircleCI, GitHub Actions, Gitlab CI và Travis CI, vui lòng truy cập trang này: Cách tích hợp eSigner CKA với Công cụ CI/CD để ký mã tự động.

Yêu cầu

  1. Chứng chỉ Code Signature do SSLcom cấp. 
  2. Chứng chỉ Code Signing hiện phải được đăng ký trên eSigner. Tham khảo hướng dẫn này: Đăng ký với eSigner để ký tài liệu và mã từ xa
  3. Cài đặt eSigner CKA trên máy tính của bạn và cấu hình chế độ ký (thủ công hoặc tự động) và loại ký (sản xuất hoặc thử nghiệm). Tham khảo bài viết này để biết hướng dẫn cài đặt: Cách cài đặt Bộ điều hợp khóa đám mây eSigner SSL.com (CKA).

Người dùng có thể ký mã bằng khả năng Ký mã xác thực mở rộng của eSigner. Nhấp vào để có được thêm nhiều thông tin hơn.

TÌM HIỂU THÊM

Quy trình tùy chọn: Sử dụng Quét phần mềm độc hại trước khi ký

Malware Scan là một dịch vụ quan trọng từ SSL.com đảm bảo phần mềm không có phần mềm độc hại trước khi được ký bằng chứng chỉ ký mã. Bằng cách tích hợp Malware Scan, các nhà phát triển thêm một lớp bảo mật mạnh mẽ, tự động dừng quá trình ký nếu phát hiện phần mềm độc hại và cảnh báo nhà phát triển thực hiện các hành động cần thiết.

hướng dẫn:

  1. Đăng nhập vào tài khoản SSL.com của bạn. Nhấp vào tab đơn đặt hàng theo sau là tải về liên kết chứng chỉ của bạn để hiển thị chi tiết của nó. Cuộn xuống CHỨNG NHẬN KÝ và tìm phần hiển thị thông tin xác thực chứng chỉ eSigner của bạn. Đảm bảo rằng các nút radio có nội dung đã bật thông tin đăng nhập và đã bật trình chặn phần mềm độc hại được chọn.
  2. Cài đặt Bộ điều hợp khóa đám mây eSigner.
  3. Cài đặt eSigner CodeSignTool. Nhấp chuột vào đây để tải xuống eSigner CodeSignTool.
  4. Quét mã trên CodeSignTool bằng lệnh sau: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Sử dụng SignTool để ký mã bằng eSigner CKA bằng lệnh sau: scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>

Tham số:

  • -input_file_path=<PATH>: Đường dẫn của đối tượng mã cần ký.
  • -username=<USERNAME>SSL.com tài khoản người dùng
  • -password=<PASSWORD>SSL.com mật khẩu tài khoản.
  • -program_name=<PROGRAM_NAME>: Tên chương trình
  • -credential_id=<CREDENTIAL_ID>: ID thông tin xác thực để ký chứng chỉ. ID thông tin xác thực eSigner của bạn nằm trong SSL.com trang đặt hàng chứng chỉ.

Xây dựng lệnh để ký mã

Các thành phần của Comand

Đối với cả việc ký mã thủ công và tự động, lệnh chứa đựng:

  1. Vị trí của SignTool (công cụ dòng lệnh chịu trách nhiệm ký kỹ thuật số vào tệp và xác minh chữ ký), được đặt trong dấu ngoặc kép. Ví dụ: “C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.22000.0 \ x86 \ signtool.exe ”
    Lưu ý: Vị trí của SignTool sẽ tùy thuộc vào phiên bản SDK đã tải xuống và kiến ​​trúc đang sử dụng.
  2. Sản phẩm / fd sha256 tùy chọn chỉ định Thuật toán băm
  3. Sản phẩm / tr http://ts.ssl.com tùy chọn chỉ định địa chỉ máy chủ dấu thời gian
  4. / td sha256 tùy chọn chỉ định thuật toán thông báo dấu thời gian
  5. Sản phẩm / sha1 tùy chọn chỉ định dấu ngón tay cái mà SignTool sử dụng để tìm chứng chỉ ký mã thích hợp từ kho khóa
  6. Thực tế dấu vân tay chứng nhận
  7. Đường dẫn của tệp sẽ được ký, được đặt trong dấu ngoặc kép: “ĐƯỜNG DẪN TỆP SIGNABLE”

Nhìn chung, lệnh sẽ trông như sau: 

“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” ký /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 dấu vân tay chứng chỉ “ ĐƯỜNG DẪN TẬP TIN CÓ THỂ ĐĂNG KÝ”

Lưu ý: Theo mặc định, SSL.com hỗ trợ dấu thời gian từ khóa ECDSA.

Nếu bạn gặp phải lỗi này: The timestamp certificate does not meet a minimum public key length requirement, bạn nên liên hệ với nhà cung cấp phần mềm của mình để cho phép dấu thời gian từ khóa ECDSA.

Nếu không có cách nào để nhà cung cấp phần mềm của bạn cho phép sử dụng điểm cuối thông thường, thì bạn có thể sử dụng điểm cuối cũ này http://ts.ssl.com/legacy để lấy dấu thời gian từ Đơn vị dấu thời gian RSA.

Định vị Dấu tay chứng chỉ của bạn

Sau đó, khi cài đặt eSigner CKA và thêm chứng chỉ Ký mã EV của bạn vào Cửa hàng chứng chỉ người dùng, bạn sẽ có thể kiểm tra dấu vân tay chứng chỉ EV Code Signing của mình bằng cách nhấn Phím Windows + R và sau đó gõ vào certmgr.msc để truy cập cửa hàng Chứng chỉ Người dùng. Khi cửa sổ trình quản lý chứng chỉ bật lên, hãy nhấp vào Cá nhân thư mục trên bảng điều khiển bên trái và sau đó chọn Giấy chứng nhận thư mục con ở bên phải để xác định chứng chỉ EV Code Signing của bạn.

Nhấp đúp vào chứng chỉ. Chọn chi tiết tab và sau đó cuộn xuống để hiển thị Dấu vân tay. Sao chép Dấu vân tay và đưa vào lệnh của bạn khi bạn đang ký mã.

Chuyển về đầu trang

Ký mã thủ công

Cài đặt eSigner CKA

Tải xuống SSL.COM eSigner CKA

Truy cập SignTool qua Dòng lệnh

Để nhớ lại, lệnh ký mã trông như sau: 

“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” ký /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 dấu vân tay chứng chỉ “ ĐƯỜNG DẪN TẬP TIN CÓ THỂ ĐĂNG KÝ”

Khi viết lệnh và nhấn đăng ký hạng mục thi, bạn sẽ thấy thông báo Đã hoàn tất việc thêm cửa hàng bổ sung. Sau đó, một cửa sổ sẽ bật lên yêu cầu bạn đặt tên người dùng và mật khẩu tài khoản SSL.com của mình.

Nhập mật khẩu dùng một lần (OTP) 

Mật khẩu dùng một lần (OTP) cho Chứng chỉ ký mã EV đã đăng ký eSigner của bạn sẽ được gửi đến ứng dụng Authenticator của bạn. Sau khi nhập thành công, Command Prompt sẽ cho biết rằng tệp của bạn đã được ký thành công.

Thành công! Mã của bạn đã được ký. 

Kiểm tra chữ ký điện tử trên tệp

Sau khi ký mã thành công, bây giờ bạn có thể kiểm tra thông tin chi tiết của chữ ký số trên hồ sơ. Bấm chuột phải vào tệp đã ký, bấm Bất động sản, tiếp theo là Chữ ký số Chuyển hướng. Tại đây, bạn sẽ thấy tên của Người ký, thuật toán thông báo được sử dụng và dấu thời gian của chữ ký. Nhấn vào Chi Tiết để biết thêm thông tin về mã đã ký.

Bạn sẽ có thể đọc thông tin nêu Chữ ký điện tử này được. Tiến hành nhấp vào Xem Giấy chứng nhận .

Sau khi nhấp vào Xem Giấy chứng nhận , bạn sẽ đọc thông tin cho biết rằng Chứng chỉ số được cấp cho tệp đã ký đảm bảo rằng nó đến từ nhà xuất bản và bảo vệ nó khỏi sự thay đổi sau khi xuất bản.

Chuyển về đầu trang

Ký mã tự động

Truy cập SignTool thông qua lệnh

Để nhớ lại, lệnh ký mã trông như sau: 

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.22000.0 \ x86 \ signtool.exe ”sign / fd sha256 / tr http://ts.ssl.com / td sha256 / sha1 certificate thumbprint“ SIGNABLE ĐƯỜNG DẪN TẬP TIN"

Mở Command Prompt đặt lệnh. Sau khi nhấn enter, bạn sẽ thấy thông báo nói rằng Đã hoàn tất việc thêm cửa hàng bổ sung.

Sau một vài giây, bạn sẽ thấy thông báo Đã ký thành công. Điều này cho thấy rằng tệp của bạn đã được ký theo cách tự động mà không cần thêm OTP. 

Kiểm tra sự hiện diện của chữ ký điện tử trên tệp của bạn

Mở vị trí thư mục của tệp đã ký của bạn. Bấm chuột phải vào nó và sau đó bấm Bất động sản. Bấm vào tab Chữ ký số và ở đây bạn sẽ thấy thuật toán băm an toàn được sử dụng có 256 bit. Nhấp vào khoảng trống ngay lập tức hiển thị tên của người ký, thuật toán thông báo và Dấu thời gian. Sau khi nó được đánh dấu, hãy tiếp tục nhấp vào Chi Tiết .

Sau đó, một cửa sổ bật lên sẽ hiển thị thông báo rằng chữ ký điện tử trên tệp là hợp lệ cũng như cho biết thời gian cụ thể khi nó được ký. Nhấn vào Xem Giấy chứng nhận để xem thêm thông tin về chứng chỉ số EV Code Signing đã được cấp. 

Bạn sẽ thấy thông tin về chứng chỉ EV Code Signing cho biết rằng chứng chỉ này xác nhận bạn là người tạo ra tệp thực thi và bảo vệ tệp của bạn không bị giả mạo. 

Chuyển về đầu trang

Hướng dẫn ký mã liên quan sử dụng eSigner CKA

  • Cách ký tệp Bộ thí nghiệm phần cứng (HLK) bằng eSigner CKA và HLKSigntool. Bộ công cụ phòng thí nghiệm phần cứng (HLK) được sử dụng để thử nghiệm và chuẩn bị trình điều khiển chế độ hạt nhân để gửi cho Microsoft. Để tích hợp với nền tảng HLK của Microsoft, eSigner CKA cũng yêu cầu cài đặt HLKSigntool.
  • Cách ký Macro VBA bằng eSigner CKA. Microsoft Visual Basic for Applications (VBA) cho phép những người không có chuyên môn lập trình vẫn có thể ghi lại, tạo và sửa đổi các macro giúp tự động hóa các tác vụ lặp đi lặp lại trong các ứng dụng Office.
  • Cách ký các tệp .app bằng eSigner CKA. Tệp Microsoft_Application.app chứa đầy đủ tất cả các phần mở rộng cấu thành nên một giải pháp, cung cấp phương pháp hiệu quả để xác định và tham chiếu đến danh tính của giải pháp này.
  • Cách ký file vsix bằng eSigner CKA. A .vsix tệp là gói cài đặt cho các tiện ích mở rộng và tiện ích bổ sung cho Visual Studio, môi trường phát triển tích hợp (IDE) của Microsoft.

Luôn cập nhật thông tin và bảo mật

SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

Chúng tôi rất mong nhận được phản hồi của bạn

Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.

Tham gia khảo sát