en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

使用Azure Key Vault进行代码签名

本教程将向您展示如何使用存储在Azure Key Vault中的代码签名证书和私钥从Windows命令行对文件签名。 要遵循这些说明,您将需要:

这些说明适用于标准(OV / IV) 代码签名证书。 SSL.com不支持发行 EV代码签名 与Azure Key Vault一起使用的证书。

什么是Azure Sign工具?

Azure登录工具 是一个开源实用程序,提供 签名工具 存储在Azure Key Vault中的证书和密钥的功能。 您可以在Windows PowerShell中使用以下命令安装Azure Sign Tool(要求 .NET开发工具包):

dotnet tool install --global AzureSignTool

步骤1:注册新的Azure应用程序

首先,您需要注册一个新的Azure应用程序,以便可以连接到Key Vault进行签名。

  1. 登录到 Azure门户.
    登录到Azure
  2. 导航 Azure Active Directory。 (点击 更多的服务 如果看不到Azure Active Directory图标。)
    Azure Active Directory
  3. 单击 应用注册,在左栏中。
    应用注册
  4. 单击 新注册.
    新注册
  5. 给您的应用一个 姓名: 并单击 注册 按钮。 将其他设置保留为默认值。
    注册申请
  6. 您的新应用程序已注册。 复制并保存显示的值 应用程序(客户端)ID,因为您稍后需要它。
    应用程序(客户端)ID
  7. 单击 认证.
    认证
  8. 高级设置,设定 允许公共客户流Yes.
    允许公共客户流
  9. 单击 优惠.
    优惠

步骤2:建立客户机密

接下来,生成一个客户端机密,该客户端机密将在签名时用作凭据。

  1. 单击 证书和秘密 在左侧菜单中。
    证书和秘密
  2. 单击 新客户机密.
    新客户机密
  3. 给你的客户一个秘密 详情描述,根据需要设置到期时间,然后点击 加入 按钮。
    添加客户机密
  4. 复制 您的新客户秘密 立即 并将其保存在安全的地方。 下次刷新页面时,此值将被屏蔽并且无法检索。
    复制秘密价值

步骤3:在Key Vault中启用访问

现在,您需要在Azure Key Vault中启用对应用程序的访问。

  1. 导航到包含要用于签名的证书的Key Vault,然后单击 访问政策 链接。
    访问政策
  2. 单击 添加访问策略.
    添加访问策略
  3. 关键权限,启用 Sign.
    在主要权限下启用签名
  4. 证书权限,启用 Get.
    启用“在证书下获取”权限
  5. 点击 未选择 链接,在 选择校长,然后使用搜索字段找到并选择您在上一节中创建的应用程序。
    选择校长
  6. 点击 选择 按钮。
    选择
  7. 点击 加入 按钮。
    加入
  8. 单击 优惠.
    优惠
  9. 设置了访问策略,您就可以开始对文件进行签名了。
    完成的访问策略

步骤4:签署档案

现在您终于可以签署一些代码了!

  1. 您将需要以下信息:
    • 你的 密钥库URI (在Azure门户中可用):
      密钥库URI
    • 新的 友好名称 密钥保管库中的证书:
      证书名称
    • 新的 应用程序(客户端)ID Azure应用程序的价值:
      应用程序(客户端)ID
    • 新的 秘密购物 您在上面生成了:
      复制秘密价值
  2. 以下是PowerShell中用于使用Azure Sign Tool签名和时间戳文件的示例命令。 用您的实际信息替换ALL CAPS中的值:
    azuresigntool标志-kvu密钥-VAULT-URI -kvc证书名称-kvi应用程序客户端ID -kvs客户秘密-tr http://ts.ssl.com/ -td sha256可执行路径
  3. 如果签名成功,您应该看到如下所示的输出(不成功的签名将不会产生任何输出):
    信息:AzureSignTool.Program [0] =>文件:test.exe签名文件test.exe信息:AzureSignTool.Program [0] =>文件:test.exe文件test.exe签名成功完成。 信息PS C:\ Users \ Aaron Russell \ Desktop>
  4. 有关新数字签名的详细信息将在文件属性中提供:
    数字签名详细信息
请注意: Azure Sign Tool的作者还提供了一个 演练 在Azure DevOps中使用该工具。

SSL.com的 EV 代码签名 证书通过最高级别的验证帮助保护您的代码免受未经授权的篡改和破坏,并且只需 $ 249每年。 您也可以 大规模使用您的 EV 代码签名证书 使用 eSigner 在云中。 凭借其自动化选项,eSigner 适用于企业代码签名。

马上订购

订阅 SSL.com 的时事通讯

不要错过SSL.com上的新文章和更新