Автоматизируйте подписание кода расширенной проверки (EV) с помощью Yubico Yubikey

Я хочу подписать EV Code с помощью закрытого ключа на Yubico Yubikey 5, используя signtool.exe. Однако каждый раз, когда я подписываю файл, он запрашивает пароль. Я бы хотел, чтобы ввод этого ключа был автоматизирован как часть конвейера сборки, запускаемого на защищенной машине.

Ранее я использовал токен Safenet и смог сделать это с помощью решений от этот вопрос, однако я понимаю, что эта функциональность была конкретной реализацией для eToken Cryptographic Security Provider, используемого Safenet.

Я экспортировал публичный сертификат из Yubikey и использовал certutil для сброса информации о контейнере ключей (который похож на GUID на 0bababab-0000-aaaa-baba-cdcdcdcdcdcd) и CSP на Microsoft Smart Card Key Storage Provider, но когда я использую эту информацию, я получаю следующую проблему:

signtool sign /f <cert file>.crt /csp "Microsoft Smart Card Key Storage Provider" /v /kc <container_id>
Error information: "CryptExportPublicKeyInfoEx failed" (-2146893819/0x80090005)
SignTool Error: An unexpected internal error has occurred.

code-signing signtool yubikey

29.09.2023 09:19

Стоит ли изучать PHP в 2026-2027 годах?

Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...

Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией

В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.

Приемы CSS-макетирования - floats и Flexbox

Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...

Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest

В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...

Концепция локализации и ее применение в приложениях React ⚡️

Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...

Пользовательский скаляр GraphQL

Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Помимо поддержки Microsoft Smart Card, Yubikey также поддерживает PKCS11. Этот интерфейс не поддерживается изначально signtool.exe, но поддерживается сторонними инструментами, такими как osslsigncode, которые позволяют передавать ключевой пароль через CLI.

Вот как у меня это заработало:

Скачайте и установите OpenSSL т.е. из здесь Важно: обязательно установите его на C:\OpenSSL-Win64 вместо C\Program Files\OpenSSL-Win64 по умолчанию.
Загрузите и установите yubico-piv-tool, то есть из здесь, и запишите местоположение файла libykcs11.dll, который должен находиться по адресу C:\Program Files\Yubico\Yubico PIV Tool\bin. Важно: добавьте этот путь в переменную PATH, иначе osslsigncode не будет работать.
Клонируйте или загрузите исходный код libp11
Соберите libp11 с помощью nmake, более подробная инструкция здесь. Примечание. Текущая версия файла make зависит от установки OpenSSL в каталог на шаге 1.
Обратите внимание на расположение pkcs11.dll, полученного на шаге 4, это будет наш pkcs11engine для osslsigncode.
Загрузите osslsigncode то есть из здесь и добавьте его местоположение в свою PATH переменную.
Используйте Yubikey Manager, чтобы экспортировать публичный сертификат в файл .crt и запишите его местоположение.
Наконец, вы можете использовать следующую команду:
osslsigncode sign -pkcs11module <location_of_libykcs11.dll> -pkcs11engine <location_of_pkcs11.dll> -pass <yubikey_passcode> -ts <timestamp_server_url> -key "pkcs11:id=%01" -certs <path_to_public_cert.crt> -in "input_file.exe" -out "output_file.exe"