eSigner CKA (Bộ điều hợp phím đám mây) là một ứng dụng Windows sử dụng giao diện CNG (KSP Key Service Provider) để cho phép certutil.exe và signtool.exe để thực hiện các thao tác ký mã thông qua API CSC của người ký điện tử.
Hoạt động như một mã thông báo USB ảoNó tải các chứng chỉ ký mã một cách an toàn vào kho chứng chỉ Windows mà không cần phần cứng vật lý. Là một phương pháp ký dựa trên đám mây, eSigner CKA loại bỏ chi phí, thách thức về hậu cần và rủi ro bảo mật của các thiết bị USB token trong khi cung cấp khả năng ký cấp doanh nghiệp mà không cần sự phức tạp của các thiết bị HSM mạng. Điều này làm cho nó trở thành một giải pháp tối ưu. giải pháp có khả năng mở rộng, an toàn và tiết kiệm chi phí Dành cho các quy trình ký mã hiện đại.
Hướng dẫn này bao gồm Ký mã thủ công và tự động trên Windows bằng SignTool với chứng chỉ sản xuất hoặc thử nghiệm. Không giống như các token vật lý, eSigner CKA hỗ trợ tự động hóa tiên tiến, cho phép tích hợp liền mạch với các công cụ CI/CD như GitHub Actions, GitLab CI, CircleCI và Travis CINếu bạn đang sử dụng công cụ CI/CD, hãy xem hướng dẫn liên quan này: Cách tích hợp eSigner CKA với Công cụ CI/CD để ký mã tự động.
Yêu cầu
- Chứng chỉ Code Signature do SSLcom cấp.
- Chứng chỉ Code Signing hiện phải được đăng ký trên eSigner. Tham khảo hướng dẫn này: Đăng ký với eSigner để ký tài liệu và mã từ xa
- Cài đặt eSigner CKA trên máy tính của bạn và cấu hình chế độ ký (thủ công hoặc tự động) và loại ký (sản xuất hoặc thử nghiệm). Tham khảo bài viết này để biết hướng dẫn cài đặt: Cách cài đặt Bộ điều hợp khóa đám mây eSigner SSL.com (CKA).
Quy trình tùy chọn: Sử dụng Quét phần mềm độc hại trước khi ký
Malware Scan là một dịch vụ quan trọng từ SSL.com đảm bảo phần mềm không có phần mềm độc hại trước khi được ký bằng chứng chỉ ký mã. Bằng cách tích hợp Malware Scan, các nhà phát triển thêm một lớp bảo mật mạnh mẽ, tự động dừng quá trình ký nếu phát hiện phần mềm độc hại và cảnh báo nhà phát triển thực hiện các hành động cần thiết.
hướng dẫn:
- Đăng nhập vào tài khoản SSL.com của bạn. Nhấp vào tab đơn đặt hàng theo sau là tải về liên kết chứng chỉ của bạn để hiển thị chi tiết của nó. Cuộn xuống CHỨNG NHẬN KÝ và tìm phần hiển thị thông tin xác thực chứng chỉ eSigner của bạn. Đảm bảo rằng các nút radio có nội dung đã bật thông tin đăng nhập và đã bật trình chặn phần mềm độc hại được chọn.
- Cài đặt Bộ điều hợp khóa đám mây eSigner.
- Cài đặt eSigner CodeSignTool. Nhấp chuột đây để tải xuống eSigner CodeSignTool.
- Quét mã trên CodeSignTool bằng lệnh sau:
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME> - Sử dụng SignTool để ký mã bằng eSigner CKA bằng lệnh sau:
scan_code -username=<USERNAME> -password=<PASSWORD> -credential_id=<eSigner Credential ID> -input_file_path=<inputFilePath>
Tham số:
-input_file_path=<PATH>: Đường dẫn của đối tượng mã cần ký.-username=<USERNAME>: SSL.com tài khoản người dùng-password=<PASSWORD>: SSL.com mật khẩu tài khoản.-program_name=<PROGRAM_NAME>: Tên chương trình-credential_id=<CREDENTIAL_ID>: ID thông tin xác thực để ký chứng chỉ. ID thông tin xác thực eSigner của bạn nằm trong SSL.com trang đặt hàng chứng chỉ.
Xây dựng lệnh để ký mã
Các thành phần của Comand
Đối với cả việc ký mã thủ công và tự động, lệnh chứa đựng:
- Vị trí của SignTool (công cụ dòng lệnh chịu trách nhiệm ký kỹ thuật số vào tệp và xác minh chữ ký), được đặt trong dấu ngoặc kép. Ví dụ: “C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.22000.0 \ x86 \ signtool.exe ”
Lưu ý: Vị trí của SignTool sẽ tùy thuộc vào phiên bản SDK đã tải xuống và kiến trúc đang sử dụng. - / fd sha256 tùy chọn chỉ định Thuật toán băm
- / tr http://ts.ssl.com tùy chọn chỉ định địa chỉ máy chủ dấu thời gian
- / td sha256 tùy chọn chỉ định thuật toán thông báo dấu thời gian
- / sha1 tùy chọn chỉ định dấu ngón tay cái mà SignTool sử dụng để tìm chứng chỉ ký mã thích hợp từ kho khóa
- Thực tế dấu vân tay chứng nhận
- Đường dẫn của tệp sẽ được ký, được đặt trong dấu ngoặc kép: “ĐƯỜNG DẪN TỆP SIGNABLE”
Nhìn chung, lệnh sẽ trông như sau:
“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” ký /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 dấu vân tay chứng chỉ “ ĐƯỜNG DẪN TẬP TIN CÓ THỂ ĐĂNG KÝ”.
Nếu bạn gặp phải lỗi này:
The timestamp certificate does not meet a minimum public key length requirement, bạn nên liên hệ với nhà cung cấp phần mềm của mình để cho phép dấu thời gian từ khóa ECDSA.Nếu không có cách nào để nhà cung cấp phần mềm của bạn cho phép sử dụng điểm cuối thông thường, thì bạn có thể sử dụng điểm cuối cũ này
http://ts.ssl.com/legacy để lấy dấu thời gian từ Đơn vị dấu thời gian RSA.
Định vị Dấu tay chứng chỉ của bạn
Sau đó, khi cài đặt eSigner CKA và thêm chứng chỉ Ký mã EV của bạn vào Cửa hàng chứng chỉ người dùng, bạn sẽ có thể kiểm tra dấu vân tay chứng chỉ EV Code Signing của mình bằng cách nhấn Phím Windows + R và sau đó gõ vào certmgr.msc để truy cập cửa hàng Chứng chỉ Người dùng. Khi cửa sổ trình quản lý chứng chỉ bật lên, hãy nhấp vào Cá nhân thư mục trên bảng điều khiển bên trái và sau đó chọn Giấy chứng nhận thư mục con ở bên phải để xác định chứng chỉ EV Code Signing của bạn.
Nhấp đúp vào chứng chỉ. Chọn chi tiết tab và sau đó cuộn xuống để hiển thị Dấu vân tay. Sao chép Dấu vân tay và đưa vào lệnh của bạn khi bạn đang ký mã.
Ký mã thủ công
Cài đặt eSigner CKA
Truy cập SignTool qua Dòng lệnh
Để nhớ lại, lệnh ký mã trông như sau:
“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” ký /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 dấu vân tay chứng chỉ “ ĐƯỜNG DẪN TẬP TIN CÓ THỂ ĐĂNG KÝ”
Khi viết lệnh và nhấn đăng ký hạng mục thi, bạn sẽ thấy thông báo Đã hoàn tất việc thêm cửa hàng bổ sung. Sau đó, một cửa sổ sẽ bật lên yêu cầu bạn đặt tên người dùng và mật khẩu tài khoản SSL.com của mình.
Nhập mật khẩu dùng một lần (OTP)
Mật khẩu dùng một lần (OTP) cho Chứng chỉ ký mã EV đã đăng ký eSigner của bạn sẽ được gửi đến ứng dụng Authenticator của bạn. Sau khi nhập thành công, Command Prompt sẽ cho biết rằng tệp của bạn đã được ký thành công.
Thành công! Mã của bạn đã được ký.
Kiểm tra chữ ký điện tử trên tệp
Sau khi ký mã thành công, bây giờ bạn có thể kiểm tra thông tin chi tiết của chữ ký số trên hồ sơ. Bấm chuột phải vào tệp đã ký, bấm Bất động sản, tiếp theo là Chữ ký số Chuyển hướng. Tại đây, bạn sẽ thấy tên của Người ký, thuật toán thông báo được sử dụng và dấu thời gian của chữ ký. Nhấn vào Chi Tiết để biết thêm thông tin về mã đã ký.
Bạn sẽ có thể đọc thông tin nêu Chữ ký điện tử này được. Tiến hành nhấp vào Xem Giấy chứng nhận .
Sau khi nhấp vào Xem Giấy chứng nhận , bạn sẽ đọc thông tin cho biết rằng Chứng chỉ số được cấp cho tệp đã ký đảm bảo rằng nó đến từ nhà xuất bản và bảo vệ nó khỏi sự thay đổi sau khi xuất bản.
Ký mã tự động
Truy cập SignTool thông qua lệnh
Để nhớ lại, lệnh ký mã trông như sau:
C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.22000.0 \ x86 \ signtool.exe ”sign / fd sha256 / tr http://ts.ssl.com / td sha256 / sha1 certificate thumbprint“ SIGNABLE ĐƯỜNG DẪN TẬP TIN"
Mở Command Prompt và đặt lệnh. Sau khi nhấn enter, bạn sẽ thấy thông báo nói rằng Đã hoàn tất việc thêm cửa hàng bổ sung.
Sau một vài giây, bạn sẽ thấy thông báo Đã ký thành công. Điều này cho thấy rằng tệp của bạn đã được ký theo cách tự động mà không cần thêm OTP.
Kiểm tra sự hiện diện của chữ ký điện tử trên tệp của bạn
Mở vị trí thư mục của tệp đã ký của bạn. Bấm chuột phải vào nó và sau đó bấm Bất động sản. Bấm vào tab Chữ ký số và ở đây bạn sẽ thấy thuật toán băm an toàn được sử dụng có 256 bit. Nhấp vào khoảng trống ngay lập tức hiển thị tên của người ký, thuật toán thông báo và Dấu thời gian. Sau khi nó được đánh dấu, hãy tiếp tục nhấp vào Chi Tiết .
Sau đó, một cửa sổ bật lên sẽ hiển thị thông báo rằng chữ ký điện tử trên tệp là hợp lệ cũng như cho biết thời gian cụ thể khi nó được ký. Nhấn vào Xem Giấy chứng nhận để xem thêm thông tin về chứng chỉ số EV Code Signing đã được cấp.
Bạn sẽ thấy thông tin về chứng chỉ EV Code Signing cho biết rằng chứng chỉ này xác nhận bạn là người tạo ra tệp thực thi và bảo vệ tệp của bạn không bị giả mạo.
Hướng dẫn ký mã liên quan sử dụng eSigner CKA
- Ký các tệp tin Hardware Lab Kit (HLK) – Sử dụng eSigner CKA với HLKSigntool Để kiểm tra và chuẩn bị các trình điều khiển chế độ kernel để gửi cho Microsoft. Việc tích hợp với nền tảng HLK của Microsoft yêu cầu HLKSigntool.
- Ký macro VBA – Tìm hiểu cách ký các macro Microsoft Visual Basic for Applications (VBA), giúp tự động hóa các tác vụ trong ứng dụng Office mà không cần kiến thức lập trình.
- Ký các tệp .app - Dấu hiệu .ứng dụng các tệp để xác định và tham chiếu một cách an toàn danh tính của một giải pháp ứng dụng Microsoft hoàn chỉnh.
- Ký các tệp .vsix - Dấu hiệu .vsix Các gói cài đặt dành cho tiện ích mở rộng và bổ trợ của Visual Studio, đảm bảo tính toàn vẹn và xác thực cho các thành phần của IDE.
