Configurer des intégrations de signature pour utiliser Signatures de confiance

Trusted Signing prend actuellement en charge les intégrations de signature suivantes :

• SignTool
• Actions GitHub
• Tâches Azure DevOps
• PowerShell pour Authenticode
• Azure PowerShell (stratégie d’intégration continue Contrôle des applications pour entreprise)
• Kit de développement logiciel (SDK) Signatures de confiance

Nous nous efforçons continuellement à prendre en charge d’autres intégrations de signatures. Nous mettons à jour la liste des intégrations prises en charge quand d’autres intégrations sont disponibles.

Cet article explique comment configurer chacune des intégrations de signatures prises en charge de Signatures de confiance.

Configurer SignTool pour utiliser Signatures de confiance

Cette section explique comment configurer SignTool pour l’utiliser avec Trusted Signing.

Prérequis

Pour accomplir les étapes décrites dans cet article, vous avez besoin de ce qui suit :

• Compte Signatures de confiance, validation d’identité et profil de certificat.
• Attribution individuelle ou de groupe du rôle Signataire du profil de certificat de Signatures de confiance.

Résumé des étapes

1. Télécharger et installer SignTool.
2. Télécharger et installer le runtime .NET 8.
3. Téléchargez et installez le package dlib Signatures de confiance.
4. Créez un fichier JSON pour fournir votre compte Signatures de confiance et un profil de certificat.
5. Appelez SignTool.exe pour signer un fichier.

Télécharger et installer SignTool

La signature de confiance nécessite l’utilisation de SignTool pour signer les fichiers sous Windows, en particulier la version de SignTool.exe qui se trouve dans le Kit de développement logiciel (SDK) Windows 10 10.0.2261.755 ou une version ultérieure. Vous pouvez installer le SDK Windows 10 complet via Visual Studio Installer ou vous pouvez le télécharger et l’installer séparément.

Pour télécharger et installer SignTool :

1. Téléchargez la dernière version de SignTool + NuGet Windows Build Tools sur : Microsoft.Windows.SDK.BuildTools.

2. Installez SignTool à partir du SDK Windows (version minimale : 10.0.2261.755 ; la version 20348 du SDK Windows n’est pas prise en charge avec notre dlib).

Une autre option consiste à utiliser le dernier fichier nuget.exe pour télécharger et extraire le dernier package NuGet des outils de génération du SDK Windows en utilisant PowerShell :

1. Téléchargez nuget.exe en exécutant la commande de téléchargement suivante :

   Invoke-WebRequest -Uri https://dist.nuget.org/win-x86-commandline/latest/nuget.exe -OutFile .\nuget.exe  
   

2. Téléchargez et extrayez le package NuGet des outils de génération du SDK Windows en exécutant la commande d’installation suivante :

   .\nuget.exe install Microsoft.Windows.SDK.BuildTools -Version 10.0.22621.3233 -x
   

Télécharger et installer le runtime .NET 8.0

Les composants utilisés par SignTool.exe pour interagir avec Signatures de confiance nécessitent l’installation du Runtime .NET 8.0. Vous avez uniquement besoin du Runtime .NET Core 8.0. Veillez à installer le runtime correspondant à la plateforme de la version de SignTool.exe que vous envisagez d’exécuter. Vous pouvez également installer les deux tout simplement

Par exemple :

• Pour SignTool.exe x64 : Télécharger le programme d’installation du Runtime .NET 8.0 – Windows x64
• Pour SignTool.exe x86 : Télécharger le programme d’installation du Runtime .NET 8.0 – Windows x86

Télécharger et installer le package dlib Signatures de confiance

Pour télécharger et installer le package dlib Signatures de confiance (un fichier .zip) :

1. Téléchargez le package dlib Signatures de confiance.

2. Extrayez le contenu du package dlib Signatures de confiance zippé et installez-le sur votre nœud de signature dans le répertoire de votre choix. Le nœud doit être celui dans lequel vous utilisez SignTool pour signer des fichiers.

Une autre option consiste à télécharger le package dlib de Signatures de confiance par NuGet comme le package NuGet des outils de génération du SDK Windows :

.\nuget.exe install Microsoft.Trusted.Signing.Client -Version 1.0.53 -x

Créer un fichier JSON

Pour signer en utilisant Signatures de confiance, vous devez fournir les détails de votre compte Signatures de confiance et du profil de certificat qui ont été créés dans le cadre des prérequis. Effectuez les étapes suivantes pour fournir ces informations dans un fichier JSON :

1. Créez un fichier JSON (par exemple, metadata.json).

2. Ajoutez les valeurs spécifiques de votre compte Signatures de confiance et de votre profil de certificat au fichier JSON. Pour obtenir plus d’informations, consultez le fichier metadata.sample.json inclus dans le package dlib Signatures de confiance ou utilisez l’exemple suivant :

   {
     "Endpoint": "<Trusted Signing account endpoint>",
     "CodeSigningAccountName": "<Trusted Signing account name>",
     "CertificateProfileName": "<Certificate profile name>",
     "CorrelationId": "<Optional CorrelationId value>"
   }
   

   La valeur d’URI "Endpoint" doit avoir un URI qui s’aligne sur la région dans laquelle vous avez créé votre compte Signatures de confiance et votre profil de certificat pendant la configuration de ces ressources. La table affiche les régions et leurs URI correspondants.

   Région	Champs de classe de région	Valeur d’URI du point de terminaison
   USA Est	USAEst	https://eus.codesigning.azure.net
   USA Ouest 3 [1]	WestUS3	https://wus3.codesigning.azure.net
   Centre-USA Ouest	USACentreOuest	https://wcus.codesigning.azure.net
   USA Ouest 2	WestUS2	https://wus2.codesigning.azure.net
   Europe Nord	NorthEurope	https://neu.codesigning.azure.net
   Europe Ouest	WestEurope	https://weu.codesigning.azure.net

   ¹ Le champ facultatif "CorrelationId" est une valeur de chaîne opaque que vous pouvez fournir pour mettre en corrélation des requêtes de signature avec vos propres workflows, comme des identificateurs de build ou des noms d’ordinateurs.

Utiliser SignTool.exe pour signer un fichier

Pour appeler SignTool afin de signer un fichier :

1. Notez l’emplacement de votre SDK Build Tools, du fichier Azure.CodeSigning.Dlib et de votre fichier metadata.json extraits (à partir des sections précédentes).

2. Remplacez les espaces réservés dans le chemin d’accès suivant par les valeurs spécifiques que vous avez notées à l’étape 1 :

   & "<Path to SDK bin folder>\x64\signtool.exe" sign /v /debug /fd SHA256 /tr "http://timestamp.acs.microsoft.com" /td SHA256 /dlib "<Path to Trusted Signing dlib bin folder>\x64\Azure.CodeSigning.Dlib.dll" /dmdf "<Path to metadata file>\metadata.json" <File to sign> 
   

• Les versions x86 et x64 de SignTool sont incluses dans le SDK Windows. Veillez à faire référence à la version correspondante de Azure.CodeSigning.Dlib.dll. L’exemple précédent se rapporte à la version x64 de SignTool.
• Veillez à utiliser la version de SDK Windows recommandée dans les dépendances répertoriées au début de cet article pour que le fichier dlib fonctionne.

Les certificats Signatures de confiance ayant une validité de trois jours, l’horodatage est essentiel pour assurer la validation continue d’une signature au-delà de cette période de validité de trois jours. Trusted Signing recommande l’utilisation de l’autorité d’horodatage Microsoft Public RSA de Trusted Signing : http://timestamp.acs.microsoft.com/.

Utiliser d’autres intégrations de signature avec Trusted Signing

Vous pouvez également utiliser les outils ou plateformes suivants pour configurer les intégrations de signatures avec Signatures de confiance.

• GitHub Actions : pour découvrir comment utiliser une action GitHub pour Signatures de confiance, consultez Signatures de confiance – Actions dans Place de marché GitHub. Terminez les instructions pour configurer et utiliser une action GitHub.

• Tâche Azure DevOps : pour utiliser la tâche Signatures de confiance Azure DevOps, consultez Signatures de confiance dans Visual Studio Marketplace. Terminez les instructions pour la configuration.

• PowerShell pour Authenticode : pour utiliser PowerShell pour Signatures de confiance, visitez Trusted Signing 0.3.8 dans PowerShell Gallery pour installer le module PowerShell.

• Azure PowerShell – Stratégie d’intégration continue Contrôle des applications pour entreprise : pour utiliser Signatures de confiance pour la signature de stratégie d’intégration continue de code, suivez les instructions fournies dans Signer une nouvelle stratégie d’intégration et consultez Module PowerShell Az.CodeSigning.

• Kit de développement logiciel (SDK) Signatures de confiance : pour créer votre propre intégration de signature, vous pouvez utiliser notre Kit de développement logiciel (SDK) Signatures de confiance open source. Notez que cette version du Kit de développement logiciel (SDK) apparaît comme non répertoriée. Il est toujours pris en charge et le sera lorsqu’un SDK plus récent sera publié.