Standard Code Signing Użycie certyfikatów do podpisywania kodu w technologii MS Authenticode wersja 1.3
Spis treści WSTĘP... 3 1. REJESTRACJA CERTYFIKATU STANDARD CODE SIGNING ( MICROSOFT AUTHENTICODE ) 4 1.1. GENEROWANIE PARY KLUCZY KLUCZ GENEROWANY W PRZEGLADARCE... 4 1.2. GENEROWANIE PARY KLUCZY KLUCZ GENEROWANY NA KARCIE KRYPTOGRAFICZNEJ... 10 1.3. CSR (ŻĄDANIE WYDANIA CERTYFIKATU)... 16 2. INSTALOWANIE CERTYFIKATU... 20 2.1. KLUCZ ZAPISANY BEZPOŚREDNIO DO PRZEGLĄDARKI (NA TYM KOMPUTERZE)... 20 2.2. KLUCZ ZAPISANY BEZPOŚREDNIO NA KARCIE KRYPTOGRAFICZNEJ... 23 2.3. KLUCZ GENEROWANY ZA POMOCĄ ŻĄDANIA WYDANIA CERTYFIKATU CSR.... 26 3. EKSPORT KLUCZA PRYWATNEGO I CERTYFIKATU... 28 4. IMPORTOWANIE KLUCZY (PFX)... 32 5. PODPISYWANIE KODU W STANDARD CODE SIGNING ( MICROSOFT AUTHENTICODE )... 36 5.1. PODPISYWANIE ZA POMOCĄ KREATORA... 36 5.2. PODPISYWANIE Z LINII POLECEŃ... 45 6. WERYFIKOWANIE PODPISU... 46 7. SPIS RYSUNKÓW... 48
Wstęp Microsoft zaprezentował pierwszą wersję systemu Authenticode w MS Internet Explorer 3.0. System ten został zmodernizowany i poprawiony w Internet Explorer 4.0 i 5.x. CERTUM ma przyjemność zaproponować Państwu pełne wsparcie certyfikatów X.509 do tej technologii. Pełna dokumentacja znajduje się: http://msdn.microsoft.com/library/default.asp?url=/workshop/security/authcode/authenticode_node_entry.asp Uwaga: Authenticode pozwala na podpisywanie binariów (*.exe, *.dll, *.cab, *.cat, *.ocx, *.stl) tylko wtedy, gdy są one 32 bitowe. Starsze programy np. pliki wykonywalne pod 16 bitowy Windows 3.1 nie mogą być podpisane. Do podpisywania kodu w technologii Authenticode służy aplikacja Signcode (do pobrania na stronach Microsoft). W celu uzyskania certyfikatu niezbędne jest również użycie przeglądarki Internet Explorer w wersji 6 lub nowszej. Certyfikaty Authenticode mogą być również używane w innych narzędziach do podpisywania oprogramowania (np. Microsoft Java SDK oraz Visual C++). Podpisany kod może zostać również oznaczony wiarygodnym czasem zgodnie ze standardami internetowymi i normami europejskimi. Usługi publiczne oznaczania czasem wg technologii Microsoft Authenticode świadczone są nieodpłatnie (przy zastosowaniach na małą skalę i niekomercyjnych). Oznaczanie czasem wg tej niestandardowej technologii wymaga dodania parametru: -t http://time.certum.pl Należy pamiętać, aby zabezpieczyć na dodatkowym nośniku plik z kluczem prywatnym oraz certyfikat. 3 3
1. Rejestracja certyfikatu Standard Code Signing ( Microsoft Authenticode ) Po zaksięgowaniu wpłaty przez firmę Unizeto Technologies SA otrzymasz e-mail z powiadomieniem o zaksięgowaniu płatności i dostępnym kodzie aktywacyjnym, który umożliwia wygenerowanie żądania o uzyskanie certyfikatu. Logujemy się na swoje konto w e-sklepie (https://sklep.unizeto.pl). Przechodzimy do zakładki Aktywacja Certyfikatów. Rysunek 1 - Aktywacja certyfikatu Standard Code Signing 17. Aktywacja - Wybór metody. Na tym etapie możemy wybrać w jaki sposób będziemy generować klucz kryptograficzny. 1) Generowanie pary kluczy (opcja zalecana), 2) CSR. 1.1. Generowanie pary kluczy klucz generowany w przegladarce 1. Wybieramy opcję Generowanie pary kluczy i klikamy Dalej. Opcja ta pozwala na utworzenie kluczy kryptograficznych w ramach magazynu aktualnie używanej przeglądarki. 4 4
Rysunek 2 Aktywacja certyfikatu Standard Code Signing wybór metody 2. W przeglądarce Internet Explorer użytkownik jest informowany o tworzeniu certyfikatu cyfrowego w jego imieniu, należy wybrać opcję TAK aby kontynuować generowanie żądania. Rysunek 3 Aktywacja certyfikatu Standard Code Signing, komunikat systemowy 3. W tym kroku mamy możliwość wybrania, gdzie ma być zapisany klucz kryptograficzny (klucz prywatny certyfikatu): 1) Na tym komputerze (opcja zalecana), 2) Na karcie Certum, 3) W innym miejscu (karta kryptograficzna zakupiona w innej firmie). 5 5
Rysunek 4 Wybór miejsca zapisania klucza kryptograficznego 4. Na tym etapie generowania żądania użytkownik wskazuje długość klucza kryptograficznego. Do wyboru są następujące opcje: 1) 2048 bit 2) 4096 bit Rysunek 5 Wskazanie długości klucza 6 6
5. Po wskazaniu długości klucza kryptograficznego wciskamy przycisk Generuj Klucze. Rysunek 6 Generowanie klucza Cz.1 6. Użytkownik jest informowany, że aplikacja tworzy element chroniony, należy kliknąć OK aby kontynuować generowanie żądania. Rysunek 7 Generowanie klucza Cz.2 7. Klucze certyfikacyjne zostały wygenerowane taki komunikat ukaże się nam po poprawnym wygenerowaniu klucza kryptograficznego. Aby kontynuować wybieramy przycisk Dalej. 7 7
Rysunek 8 Klucze certyfikatu zostały wygenerowane 8. Na tym etapie należy zweryfikować dane, które będą zawarte w certyfikacie. Jeżeli wszystkie dane są poprawne, klikamy przycisk Dalej. Rysunek 9 Dane do certyfikatu Uwaga: Prosimy o dokładną weryfikację danych do certyfikatu. Po dokonaniu aktywacji usługi, zmiana danych nie będzie możliwa. Zanim złożysz wniosek o wydanie certyfikatu, potwierdzisz go, bądź użyjesz do realizacji pierwszego podpisu powinieneś dokładnie przeczytać tekst oświadczenia zawartego na stronie. Jeśli nie zgadzasz się z warunkami niniejszego oświadczenia, nie składaj wniosku o wydanie certyfikatu. 8 8
Jeżeli zapoznaliśmy się z zawartością oświadczenia, zaznaczamy checkbox i wybieramy przycisk Aktywuj. Rysunek 10 Potwierdzenie oświadczenia Cz. 1 Rysunek 11 Potwierdzenie oświadczenia Cz. 2 9. Na adres poczty elektronicznej zostanie wysłany list (Temat: Wniosek certyfikacyjny został utworzony) zawierający dalsze instrukcje. Do wydania certyfikatu Standard Code Signing wymagana 9 9
jest weryfikacja tożsamości przyszłego Subskrybenta. Nowi klienci proszeni są o dostarczenie w terminie do 7 dni kopii dokumentów (lista wymaganych dokumentów będzie podana w otrzymanym e- mailu). Bezpośrednio po złożeniu wniosku status wniosku przedstawiany jest jako Oczekuje na realizację. Po zweryfikowaniu wymaganych dokumentów i zaakceptowaniu wniosku przez Centrum Certyfikacji status wniosku zmieni się na Zaakceptowany i następnie zmieni się automatycznie na W trakcie realizacji. Po wydaniu certyfikatu status wniosku zmieni się automatycznie na Wydany. Wniosek zostanie wtedy usunięty z listy wniosków, a użytkownik, który złożył wniosek będzie mógł zainstalować certyfikat wg opisu przedstawionego w rozdziale opisującym tą czynność. 1.2. Generowanie pary kluczy klucz generowany na karcie kryptograficznej Opcja ta pozwala na utworzenie kluczy kryptograficznych w ramach używanej karty kryptograficznej Certum. 1. Wybieramy opcję Generowanie pary kluczy i klikamy Dalej. Rysunek 12 Aktywacja certyfikatu Standard Code Signing wybór metody 2. W przeglądarce Internet Explorer użytkownik jest informowany o tworzeniu certyfikatu cyfrowego w jego imieniu, należy wybrać opcję TAK aby kontynuować generowanie żądania. 10 10
Rysunek 13 Aktywacja certyfikatu Standard Code Signing, komunikat systemowy 3. W tym kroku wybieramy opcję Na karcie Certum, tam zostanie zapisany klucz kryptograficzny (klucz prywatny certyfikatu). Wybranie opcji W innym miejscu skutkuje zapisaniem klucza na karcie kryptograficznej zakupionej w innej firmie niż Unizeto Technologies SA. Uwaga: Zapisanie klucza na karcie uniemożliwi wyeksportowanie całego certyfikatu do plik *.pfx Rysunek 14 Wybór miejsca zapisania klucza kryptograficznego 4. Na tym etapie generowania żądania użytkownik wskazuje długość klucza kryptograficznego. Do wyboru są następujące opcje: 1) 2048 bit 2) 4096 bit 11 11
Rysunek 15 Wskazanie długości klucza 5. Po wskazaniu długości klucza kryptograficznego wciskamy przycisk Generuj Klucze. Rysunek 16 Generowanie klucza Cz.1 6. Użytkownik jest informowany, że aplikacja tworzy element chroniony, należy kliknąć OK aby kontynuować generowanie żądania. 12 12
Rysunek 17 Generowanie klucza Cz.2 7. Następnie pojawi się okno, w którym należy wprowadzić kod PIN do Profilu Zwykłego karty. Rysunek 18 Generowanie kluczy na karcie - prośba o wprowadzenie kodu PIN do Profilu Zwykłego karty 13 13
8. Klucze certyfikacyjne zostały wygenerowane taki komunikat ukaże się nam po poprawnym wygenerowaniu klucza kryptograficznego. Aby kontynuować wybieramy przycisk Dalej. Rysunek 19 Klucze certyfikatu zostały wygenerowane 9. Na tym etapie należy zweryfikować dane, które będą zawarte w certyfikacie. Jeżeli wszystkie dane są poprawne, klikamy przycisk Dalej. Rysunek 20 Dane do certyfikatu 14 14
Uwaga: Prosimy o dokładną weryfikację danych do certyfikatu. Po dokonaniu aktywacji usługi, zmiana danych nie będzie możliwa. Zanim złożysz wniosek o wydanie certyfikatu, potwierdzisz go, bądź użyjesz do realizacji pierwszego podpisu powinieneś dokładnie przeczytać tekst oświadczenia zawartego na stronie. Jeśli nie zgadzasz się z warunkami niniejszego oświadczenia, nie składaj wniosku o wydanie certyfikatu. Jeżeli zapoznaliśmy się z zawartością oświadczenia, zaznaczamy checkbox i wybieramy przycisk Aktywuj. Rysunek 21 Potwierdzenie oświadczenia Cz. 1 Rysunek 22 Potwierdzenie oświadczenia Cz. 2 15 15
10. Na adres poczty elektronicznej zostanie wysłany list (Temat: Wniosek certyfikacyjny został utworzony) zawierający dalsze instrukcje. Do wydania certyfikatu Standard Code Signing wymagana jest weryfikacja tożsamości przyszłego Subskrybenta. Nowi klienci proszeni są o dostarczenie w terminie do 7 dni kopii dokumentów (lista wymaganych dokumentów będzie podana w otrzymanym e- mailu). Bezpośrednio po złożeniu wniosku status wniosku przedstawiany jest jako Oczekuje na realizację. Po zweryfikowaniu wymaganych dokumentów i zaakceptowaniu wniosku przez Centrum Certyfikacji status wniosku zmieni się na Zaakceptowany i następnie zmieni się automatycznie na W trakcie realizacji. Po wydaniu certyfikatu status wniosku zmieni się automatycznie na Wydany. Wniosek zostanie wtedy usunięty z listy wniosków, a użytkownik, który złożył wniosek będzie mógł zainstalować certyfikat wg opisu przedstawionego w rozdziale opisującym tą czynność. 1.3. CSR (żądanie wydania certyfikatu) Opcja ta pozwala na podanie wygenerowanego wcześniej żądania CSR. Żądanie takie można wygenerować na dowolnej stacji roboczej lub serwerze z urządzenia HSM itd.. Zawiera ono klucze jak i dane, które będą umieszczone w certyfikacie. 1. Wybieramy metodę CSR i klikamy Dalej. Rysunek 23 CSR wybór metody 2. W ramkę należy wkleić wcześniej wygenerowane żądanie CSR 16 16
Rysunek 24 Wklejenie żądania CSR 3. Na tym etapie należy zweryfikować dane, które będą zawarte w certyfikacie. Jeżeli wszystkie dane są poprawne, klikamy przycisk Dalej. Rysunek 25 Dane do certyfikatu 17 17
Uwaga: Prosimy o dokładną weryfikację danych do certyfikatu. Po dokonaniu aktywacji usługi, zmiana danych nie będzie możliwa. Zanim złożysz wniosek o wydanie certyfikatu, potwierdzisz go, bądź użyjesz do realizacji pierwszego podpisu powinieneś dokładnie przeczytać tekst oświadczenia zawartego na stronie. Jeśli nie zgadzasz się z warunkami niniejszego oświadczenia, nie składaj wniosku o wydanie certyfikatu. Jeżeli zapoznaliśmy się z zawartością oświadczenia, zaznaczamy checkbox i wybieramy przycisk Aktywuj. Rysunek 26 Potwierdzenie oświadczenia Cz. 1 Rysunek 27 Potwierdzenie oświadczenia Cz. 2 18 18
4. Na adres poczty elektronicznej zostanie wysłany list (Temat: Wniosek certyfikacyjny został utworzony) zawierający dalsze instrukcje. Do wydania certyfikatu Standard Code Signing wymagana jest weryfikacja tożsamości przyszłego Subskrybenta. Nowi klienci proszeni są o dostarczenie w terminie do 7 dni kopii dokumentów (lista wymaganych dokumentów będzie podana w otrzymanym e- mailu). Temat: Wniosek certyfikacyjny został utworzony Szanowni Państwo, Dziękujemy za złożenie zamówienia na certyfikat Standard Code Signing dla Firmy. Wniosek o wydanie certyfikatu został wstępnie rozpatrzony. Przy zakupie certyfikatu Standard Code Signing wymagana jest weryfikacja tożsamości przyszłego Subskrybenta. Prosimy o dostarczenie w terminie 7 dni kopii następujących dokumentów: Dokumenty wymagane od osoby prywatnej: kopia dokumentu na podstawie którego będzie można potwierdzić tożsamość osoby odpowiedzialnej za zakup certyfikatu (dowód tożsamości, paszport, karta stałego pobytu, prawo jazdy). Dokumenty wymagane od osoby reprezentującej organizację: kopia dokumentu na podstawie którego będzie można potwierdzić tożsamość osoby odpowiedzialnej za zakup certyfikatu (dowód tożsamości, paszport, karta stałego pobytu, prawo jazdy), dokument potwierdzający związek osoby zamawiającej certyfikat z firmą (chyba, że powiązanie wykazane jest np. w KRS-ie) świadectwo zatrudnienia lub upoważnienie, dokumenty firmy akt nadania numeru NIP lub REGON, Wszystkie zebrane dokumenty prosimy wysłać do CERTUM PCC na jeden z poniższych sposobów: a) e-mailem w formie skanu na adres: ccp@certum.pl (forma zalecana) b) faxem na numer fax: +48 (0) 91 4257 422 c) pocztą na adres: CERTUM PCC ul. Bajeczna 13 71-838 Szczecin W przypadku jakichkolwiek pytań prosimy o kontakt z Operatorem naszej Infolinii: e-mail: infolinia@unizeto.pl nr tel.: 801 540 340 (czynna 24h na dobę), 19 19
dla telefonów komórkowych +48 91 4801 340 (czynna 24h na dobę), Z poważaniem Zespół CERTUM PCC Bezpośrednio po złożeniu wniosku status wniosku przedstawiany jest jako Oczekuje na realizację. Po zweryfikowaniu wymaganych dokumentów i zaakceptowaniu wniosku przez Centrum Certyfikacji status wniosku zmieni się na Zaakceptowany i następnie zmieni się automatycznie na W trakcie realizacji. Po wydaniu certyfikatu status wniosku zmieni się automatycznie na Wydany. Wniosek zostanie wtedy usunięty z listy wniosków, a użytkownik, który złożył wniosek będzie mógł zainstalować certyfikat wg opisu przedstawionego w rozdziale opisującym tą czynność. 2. Instalowanie certyfikatu 2.1. Klucz zapisany bezpośrednio do przeglądarki (Na tym komputerze) 1. Na tym etapie użytkownik otrzyma informacje o wydaniu certyfikatu na adres e-mail: Temat: Certyfikat został utworzony. Szanowni Państwo, Certyfikat Standard Code Signing o numerze seryjnym 2475491978e7fd4cebaf932f2269b6a9 dla Unizeto Technologies SA został właśnie wydany. Okres ważności certyfikatu: od: 19.10.2011 do: 18.10.2012. Instalacji certyfikatu można dokonać za pośrednictwem konta klienta w systemie CERTUM PCC. https://cservices.certum.pl/muccustomer/partner/customercertificate/view?themeid=default&linkid=kxkczxc%2fgt656tlt Mf1KFrwxeMg%3D%0D%0A W przypadku jakichkolwiek pytań prosimy o kontakt z Operatorem naszej Infolinii: e-mail: infolinia@unizeto.pl nr tel.: 801 540 340 (czynna 24h na dobę), dla telefonów komórkowych +48 91 4801 340 Z poważaniem Zespół Certum PCC 20 20
2. Pobranie certyfikatu można dokonać za pośrednictwem konta klienta w systemie CERTUM PCC. 3. Pobranie certyfikatu można dokonać za pośrednictwem konta klienta w systemie CERTUM PCC. Wchodzimy na stronę https://sklep.unizeto.pl/ zakładka Zarządzanie certyfikatami Rysunek 28 Profil certyfikatu Standard Code Signing 4. W celu zainstalowania certyfikatu, dla którego klucz został wygenerowany w przeglądarce należy odnaleźć ten certyfikat na liście certyfikatów przypisanych do konta użytkownika i następnie należy kliknąć w obrębie tego certyfikatu. Wyświetlone zostaną opcje dotyczące wybranego certyfikatu. Aby zainstalować certyfikat wybieramy przycisk Zainstaluj własny. 21 21
Rysunek 29 Instalacja certyfikatu Standard Code Signing 5. Użytkownik jest informowany o instalacji certyfikatu z zapytaniem o potwierdzenie chęci instalacji certyfikatu. Należy wybrać opcję TAK aby kontynuować wgrywanie certyfikatu. Rysunek 30 Instalacja certyfikatu Standard Code Signing Informacja o instalacji certyfikatu 6. Po zatwierdzeniu chęci instalacji certyfikatu zostanie on zainstalowany w przeglądarce i zostanie wyświetlona stosowna informacja o tym. Wybieramy przycisk OK. 22 22
Rysunek 31 Potwierdzenie wgrania certyfikatu Standard Code Signing Ten komunikat oznacza, że certyfikat został poprawnie dograny do magazynu certyfikatów twojej przeglądarki. 2.2. Klucz zapisany bezpośrednio na karcie kryptograficznej W celu zainstalowania certyfikatu, dla którego klucz został wygenerowany na karcie należy najpierw umieścić tę kartę w czytniku, następnie należy odnaleźć ten certyfikat na liście certyfikatów przypisanych do konta użytkownika i kliknąć w obrębie tego certyfikatu. Wyświetlone zostaną opcje dotyczące wybranego certyfikatu. 1. Na tym etapie użytkownik otrzyma informacje o wydaniu certyfikatu na adres e-mail: Temat: Certyfikat został utworzony. Szanowni Państwo, Certyfikat Standard Code Signing o numerze seryjnym 2475491978e7fd4cebaf932f2269b6a9 dla Unizeto Technologies SA został właśnie wydany. Okres ważności certyfikatu: od: 19.10.2011 do: 18.10.2012. Instalacji certyfikatu można dokonać za pośrednictwem konta klienta w systemie CERTUM PCC. https://cservices.certum.pl/muccustomer/partner/customercertificate/view?themeid=default&linkid=kxkczxc%2fgt656tlt Mf1KFrwxeMg%3D%0D%0A W przypadku jakichkolwiek pytań prosimy o kontakt z Operatorem naszej Infolinii: e-mail: infolinia@unizeto.pl nr tel.: 801 540 340 (czynna 24h na dobę), dla telefonów komórkowych +48 91 4801 340 Z poważaniem Zespół Certum PCC 23 23
2. Pobranie certyfikatu można dokonać za pośrednictwem konta klienta w systemie CERTUM PCC. 3. Pobranie certyfikatu można dokonać za pośrednictwem konta klienta w systemie CERTUM PCC. Wchodzimy na stronę https://sklep.unizeto.pl/ zakładka Zarządzanie certyfikatami Rysunek 32 Profil certyfikatu Standard Code Signing 4. W celu zainstalowania certyfikatu, dla którego klucz został wygenerowany na kartę kryptograficzną należy odnaleźć ten certyfikat na liście certyfikatów przypisanych do konta użytkownika i następnie należy kliknąć w obrębie tego certyfikatu. Wyświetlone zostaną opcje dotyczące wybranego certyfikatu. Aby zainstalować certyfikat wybieramy przycisk Zainstaluj własny. 24 24
Rysunek 33 Instalacja certyfikatu Standard Code Signing 5. Użytkownik jest informowany o instalacji certyfikatu z zapytaniem o potwierdzenie chęci instalacji certyfikatu. Należy wybrać opcję TAK aby kontynuować wgrywanie certyfikatu. Rysunek 34 Instalacja certyfikatu Standard Code Signing Informacja o instalacji certyfikatu 6. Po zatwierdzeniu chęci instalacji certyfikatu zostanie wyświetlona prośba o wprowadzenie kodu PIN do Profilu Zwykłego. Wybieramy przycisk OK. 25 25
Rysunek 35 Prośba o wprowadzenie kodu PIN do Profilu Zwykłego karty 7. Po wprowadzeniu poprawnego kodu PIN i zatwierdzeniu go certyfikat zostanie zainstalowany na karcie i zostanie wyświetlona stosowna informacja o tym. Rysunek 36 Potwierdzenie wgrania certyfikatu Standard Code Signing Ten komunikat oznacza, że certyfikat został poprawnie dograny do magazynu certyfikatów twojej przeglądarki. 2.3. Klucz generowany za pomocą żądania wydania certyfikatu CSR. Wybranie opcji uzyskania certyfikatu przy pomocy żądania CSR umożliwia użytkownikowi pobranie certyfikatu w formie pliku. Pobrany plik certyfikatu należy połączyć z kluczem prywatnym, który był wygenerowanym przy pomocy (np.: serwer, aplet Javy itp.) innych narzędzi niż przeglądarka internetowa. 1. Uzyskany certyfikat można pobrać za pośrednictwem konta klienta w systemie CERTUM PCC. Wchodzimy na stronę https://sklep.unizeto.pl/ zakładka Zarządzanie certyfikatami 26 26
Rysunek 37 Profil certyfikatu Standard Code Signing 2. W celu pobrania certyfikatu, dla którego klucz został wygenerowany przy pomocy innych narzędzi, należy odnaleźć ten certyfikat na liście certyfikatów przypisanych do konta użytkownika i następnie należy kliknąć w obrębie tego certyfikatu. Wyświetlone zostaną opcje dotyczące wybranego certyfikatu. Aby pobrać certyfikat wybieramy przycisk Zapisz binarnie lub zapisz tekstowo. Po zapisaniu certyfikatu w formie pliku, możemy wykonać import pobranego certyfikatu do maszyny, z której wcześniej utworzyliśmy żądania CSR (na tej maszynie powinien być zapisany klucz prywatny do uzyskanego certyfikatu). 27 27
Rysunek 38 Instalacja certyfikatu Standard Code Signing 3. Eksport klucza prywatnego i certyfikatu Aby wyeksportować klucz prywatny z certyfikatem w postaci paczki pfx należy uruchomić menedżera certyfikatów z linii poleceń cmd. Wywołujemy program certmgr.exe i wchodzimy do katalogu, w którym został zainstalowany pakiet Authenticode. Pojawi się znajome okno. Zaznaczamy interesujący nas certyfikat i klikamy Eksportuj...: 28 28
Zaznaczamy opcję Tak, eksportuj klucz prywatny: Zostawiamy domyślne ustawienia: 29 29
I wpisujemy hasło, które będzie chronić klucz prywatny: 30 30
Podajemy ścieżkę i nazwę pliku z paczką: Kreator potwierdzi dane wprowadzone podczas procesu eksportowania kluczy...: 31 31
...i poinformuje nas o pomyślnym zakończeniu eksportu: 4. Importowanie kluczy (PFX) Aby importować do rejestru klucze w postaci pliku (paczki) pfx należy kliknąć prawym przyciskiem myszki w plik i wybrać Zainstaluj PFX...: 32 32
... lub uruchomi_ certmgr.exe: 33 33
Podajemy nazwę pliku z paczką: Wpisujemy hasło chroniące klucze i oznaczamy ten klucz jako eksportowalny...: 34 34
Umieszczamy klucze w magazynie certyfikatów osobiste: Kreator wyświetli dane, które zebrał podczas procesu importowania paczki: 35 35
Po czym poinformuje nas o pomyślnym ukończeniu importu: 5. Podpisywanie kodu w Standard Code Signing ( Microsoft Authenticode ) 5.1. Podpisywanie za pomocą kreatora W celu wykonania podpisu kodu za pomocą Kreator podpisu cyfrowego należy uruchomić program signtool (wchodzącego w skład Microsoft Platform SDK dostępnego na stronach Microsoftu) z wiersza poleceń z parametrem signwizard: Wskazujemy plik, który chcemy podpisać: 36 36
Wybieramy standardowy typ podpisu (podpis niestandardowy zostanie omówiony w dalszej części): Klikamy Wybierz z magazynu... i wybieramy nasz certyfikat: 37 37
Kreator wyświetli nam informacje o certyfikacie: Możemy dodać komentarz do podpisu: 38 38
Następnie możemy wskazać publiczny serwer oznaczania wiarygodnym czasem (Timestamp), który dołączy swój znacznik czasu do naszego podpisu. Proponujemy serwis CERTUM: http://time.certum.pl Signcode połączy się w trybie online z serwerem czasu i pobierze wiarygodny znacznik, który zostanie dołączony do podpisywanego programu. W efekcie otrzymamy podpis, który nie może zostać sfałszowany: Kreator wyświetli dane wprowadzone podczas procesu składania podpisu...: 39 39
... po czym poinformuje nas o pomyślnym złożeniu podpisu: W przypadku wyboru opcji niestandardowej...: 40 40
... klucz i certyfikat wybierzemy własnoręcznie poprzez wskazanie plików zawierających klucze: Wskazujemy kreatorowi gdzie umieszczony jest klucz prywatny: 41 41
Wpisujemy hasło chroniące komponent prywatny: Wskazujemy algorytm wyliczający wartość funkcji skrótu (algorytm RSA liczy podpis właśnie ze skrótu). Zalecanym algorytmem (na dzień dzisiejszy) jest SHA-1: 42 42
Zaznaczamy opcję, która dołączy do podpisu certyfikat pośredni i certyfikat główny CERTUM CA. Pozwoli to na późniejszą poprawną weryfikację podpisu: Możemy dodać komentarz do podpisu: 43 43
Następnie możemy wskazać publiczny serwer oznaczania wiarygodnym czasem (Timestamp), który dołączy swój znacznik czasu do naszego podpisu. Proponujemy serwis CERTUM: http://time.certum.pl Signcode połączy się w trybie online z serwerem czasu i pobierze wiarygodny znacznik, który zostanie dołączony do podpisywanego programu. W efekcie otrzymamy podpis, który nie może zostać sfałszowany: Kreator wyświetli dane wprowadzone podczas procesu składania podpisu...: 44 44
... po czym poinformuje nas o pomyślnym zakończeniu pracy: 5.2. Podpisywanie z linii poleceń W celu podpisania pliku z linii poleceń należy uruchomić program signtool.exe ze stosownymi przełącznikami (pomoc dostępna po wpisaniu polecenia signtool.exe sign), np.: gdzie: signtool.exe sign -f c:\paczka.pfx -p asdfgh -t http://time.certum.pl c:\moj_program.exe f paczka z certyfikatem i kluczem p hasło zabezpieczające klucz prywatny c:\moj_program.exe plik do podpisu t publiczny serwer oznaczania wiarygodnym czasem (Timestamp), który dołączy swój znacznik czasu do naszego podpisu, Dla usługi znakowania czasem podpisywanego kodu proponujemy serwer CERTUM, dostępny pod 45 45
adresem http://time.certum.pl. 6. Weryfikowanie podpisu Aby zweryfikować podpis złożony pod kodem za pomocą technologii Authenticode musimy dysponować środowiskiem Windows. W celu weryfikacji podpisu należy kliknąć prawym przyciskiem myszki na plik i wybierać opcję Właściwości: Wybieramy zakładkę Podpisy cyfrowe i klikamy szczegóły: 46 46
W polu Informacje podpisu cyfrowego podawany jest status weryfikacji podpisu: 47 47
7. Spis rysunków Rysunek 1 - Aktywacja certyfikatu Standard Code Signing... 4 Rysunek 2 Aktywacja certyfikatu Standard Code Signing wybór metody... 5 Rysunek 3 Aktywacja certyfikatu Standard Code Signing, komunikat systemowy... 5 Rysunek 4 Wybór miejsca zapisania klucza kryptograficznego... 6 Rysunek 5 Wskazanie długości klucza... 6 Rysunek 6 Generowanie klucza Cz.1... 7 Rysunek 7 Generowanie klucza Cz.2... 7 Rysunek 8 Klucze certyfikatu zostały wygenerowane... 8 Rysunek 9 Dane do certyfikatu... 8 Rysunek 10 Potwierdzenie oświadczenia Cz. 1... 9 Rysunek 11 Potwierdzenie oświadczenia Cz. 2... 9 Rysunek 12 Aktywacja certyfikatu Standard Code Signing wybór metody... 10 Rysunek 13 Aktywacja certyfikatu Standard Code Signing, komunikat systemowy... 11 Rysunek 14 Wybór miejsca zapisania klucza kryptograficznego... 11 Rysunek 15 Wskazanie długości klucza... 12 Rysunek 16 Generowanie klucza Cz.1... 12 Rysunek 17 Generowanie klucza Cz.2... 13 Rysunek 18 Generowanie kluczy na karcie - prośba o wprowadzenie kodu PIN do Profilu Zwykłego karty... 13 Rysunek 19 Klucze certyfikatu zostały wygenerowane... 14 Rysunek 20 Dane do certyfikatu... 14 Rysunek 21 Potwierdzenie oświadczenia Cz. 1... 15 Rysunek 22 Potwierdzenie oświadczenia Cz. 2... 15 Rysunek 23 CSR wybór metody... 16 Rysunek 24 Wklejenie żądania CSR... 17 Rysunek 25 Dane do certyfikatu... 17 Rysunek 26 Potwierdzenie oświadczenia Cz. 1... 18 Rysunek 27 Potwierdzenie oświadczenia Cz. 2... 18 Rysunek 28 Profil certyfikatu Standard Code Signing... 21 Rysunek 29 Instalacja certyfikatu Standard Code Signing... 22 Rysunek 30 Instalacja certyfikatu Standard Code Signing Informacja o instalacji certyfikatu... 22 Rysunek 31 Potwierdzenie wgrania certyfikatu Standard Code Signing... 23 Rysunek 32 Profil certyfikatu Standard Code Signing... 24 Rysunek 33 Instalacja certyfikatu Standard Code Signing... 25 Rysunek 34 Instalacja certyfikatu Standard Code Signing Informacja o instalacji certyfikatu... 25 Rysunek 35 Prośba o wprowadzenie kodu PIN do Profilu Zwykłego karty... 26 Rysunek 36 Potwierdzenie wgrania certyfikatu Standard Code Signing... 26 Rysunek 37 Profil certyfikatu Standard Code Signing... 27 Rysunek 38 Instalacja certyfikatu Standard Code Signing... 28 48 48