Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

Instrukcja pobrania i instalacji certyfikatu Microsoft Code Signing wersja 1.4

Spis treści 1. WSTĘP... 4 2. TWORZENIE CERTYFIKATU... 4 3. WERYFIKACJA... 9 3.1. WERYFIKACJA DOKUMENTÓW... 9 3.1.1. W przypadku osoby prywatnej... 9 3.1.2. W przypadku subskrybentów reprezentujących organizację... 10 4. INSTALACJA CERTYFIKATU... 10 5. EKSPORT CERTYFIKATU DO PLIKU... 12 6. PODPISYWANIE KODU PRZY UŻYCIU NARZĘDZIA SIGNCODE... 14 6.1. PODPISYWANIE KODU PRZY UŻYCIU KREATORA... 14 6.2. PODPISYWANIE KODU Z LINII POLECEŃ... 23 6.3. WERYFIKACJA PODPISU... 28 7. PODPISYWANIE KODU PRZY UŻYCIU NARZĘDZIA SIGNTOOL... 30 7.1. PODPISYWANIE KODU Z LINII POLECEŃ... 30 7.2. WERYFIKACJA PODPISU... 30 8. PODPISYWANIE KODU NARZĘDZIEM JARSIGNER... 30 8.2. ODCZYT ALIASU W OPROGRAMOWANIU PORTECLE... 30 8.2. ODCZYT ALIASU W OPROGRAMOWANIU KEY TOOL GUI... 32 8.3. WYKONANIE PODPISU... 34 9. KONTAKT... 35 10. SPIS RYSUNKÓW... 36

1. Wstęp Microsoft Code Signing jest to certyfikat służący do podpisywania kodu. 2. Tworzenie certyfikatu Po zalogowaniu się do systemu CERTUM, mając złożone zamówienie w Sklepie, należy wypełnić formularz zgłoszeniowy. Proces ten jest przedstawiony poniżej, W celu rozpoczęcia procesu tworzenia certyfikatu należy zalogować się do Sklepu Unizeto (https://sklep.unizeto.pl) Rysunek 1 Konto w Sklepie Po zalogowaniu się do Sklepu, w celu rozpoczęcia procesu tworzenia certyfikatu, z menu należy wybrać Aktywacja certyfikatów. Wyświetlone zostaną dostępne zamówienia. 4

Rysunek 2 - Aktywacja certyfikatu Następnie należy wybrać Nazwę usługi: Microsoft Code Signing i wyszukać dostępne zamówienia. Po odnalezieniu odpowiedniego zamówienia należy je aktywować przyciskiem Aktywuj. Wyświetlony zostanie formularz umożliwiający wybranie metody dostarczenia kluczy. Rysunek 3 Wybór metody dostarczenia kluczy do certyfikatu Należy wybrać Generowanie pary kluczy i nacisnąć przycisk Dalej. Wyświetlony zostanie formularz umożliwiający wybór poziomu zabezpieczeń. 5

Rysunek 4 Wybór poziomu zabezpieczeń Należy pozostawić domyślne wartości i nacisnąć przycisk Generuj klucze. Po wygenerowaniu kluczy wyświetlony zostanie formularz umożliwiający przejście do następnego kroku. Rysunek 5 Informacja o poprawnym wygenerowaniu kluczy Po wygenerowaniu kluczy należy nacisnąć przycisk Dalej. Wyświetlony zostanie formularz umożliwiający zdefiniowanie treści certyfikatu. 6

Rysunek 6 Treść certyfikatu Po wprowadzeniu treści certyfikatu należy nacisnąć przycisk Dalej. Wyświetlony zostanie formularz prezentujący wprowadzoną treść certyfikatu. 7

Rysunek 7 Podsumowanie - treść certyfikatu Następnie należy zaakceptować Warunki użytkownika, zaakceptować Aktywację certyfikatu i nacisnąć przycisk Dalej. Nastąpi powrót do głównej strony Sklepu. 8

Rysunek 8 Strona główna Sklepu 3. Weryfikacja Przy zakupie certyfikatu Microsoft Code Signing, tożsamość Subskrybenta certyfikatu jest weryfikowana na podstawie odpowiednich dokumentów. 3.1. Weryfikacja dokumentów Przy zakupie certyfikatu Microsoft Code Signing klienci proszeni są o dostarczenie w terminie do 7 dni kopii następujących dokumentów: 3.1.1. W przypadku osoby prywatnej kopia dokumentu na podstawie którego będzie można potwierdzić tożsamość osoby odpowiedzialnej za zakup certyfikatu (dowód tożsamości, paszport, karta stałego pobytu, prawo jazdy). Kopia powinna zawierać aktualną datę wraz z dopiskiem Potwierdzam zgodność z oryginałem" oraz własnoręcznym podpisem właściciela dokumentu,, Wszystkie zebrane dokumenty należy wysłać do CERTUM PCC na jeden z poniższych sposobów: a. w formie skanu, e-mailem na adres: ccp@certum.pl (forma zalecana) b. faxem na numer fax: +48 (0) 91 4257 422 9

c. pocztą na adres: CERTUM PCC ul. Bajeczna 13 71-838 Szczecin 3.1.2. W przypadku subskrybentów reprezentujących organizację kopia dokumentu na podstawie którego będzie można potwierdzić tożsamość osoby odpowiedzialnej za zakup certyfikatu (dowód tożsamości, paszport, karta stałego pobytu, prawo jazdy). Kopia powinna zawierać aktualną datę wraz z dopiskiem Potwierdzam zgodność z oryginałem" oraz własnoręcznym podpisem właściciela dokumentu, świadectwo zatrudnienia lub upoważnienie potwierdzające wiązek osoby zamawiającej certyfikat z organizacją reprezentowaną w certyfikacie.. Wszystkie zebrane dokumenty należy wysłać do CERTUM PCC na jeden z poniższych sposobów: a. w formie skanu, e-mailem na adres: ccp@certum.pl (forma zalecana) b. faxem na numer fax: +48 (0) 91 4257 422 c. pocztą na adres: CERTUM PCC ul. Bajeczna 13 71-838 Szczecin 4. Instalacja certyfikatu UWAGA!!! Instalacja certyfikatu musi być przeprowadzona z poziomu tej samej przeglądarki i z tego samego konta użytkownika, które posłużyły do generowania kluczy do certyfikatu. Centrum Certyfikacji, po poprawnej weryfikacji, wyda certyfikat, a na konto e-mail subskrybenta przyjdzie informacja o wydaniu certyfikatu. 10

Rysunek 9 e-mail z informacją o wydaniu certyfikatu Należy skorzystać z odnośnika zawartego w wiadomości. Wyświetlony zostanie formularz umożliwiający instalację certyfikatu. Rysunek 10 Formularz umożliwiający instalację certyfikatu Należy nacisnąć przycisk Zainstaluj online. Certyfikat zostanie zainstalowany w magazynie przeglądarki. 11

Rysunek 11 Informacja o zainstalowaniu certyfikatu 5. Eksport certyfikatu do pliku Eksport certyfikatu do pliku z poziomu przeglądarki udostępniony jest w opcjach przeglądarki. W przypadku przeglądarki Mozilla Firefox, w celu wyeksportowania certyfikatu należy wybrać: Narzędzia Opcje Zaawansowane Certyfikaty. Wyświetlone zostanie okno umożliwiające zarządzanie certyfikatami. Rysunek 12 Zarządzanie certyfikatami Należy nacisnąć przycisk Wyświetl certyfikaty. Wyświetlone zostanie okno prezentujące certyfikaty użytkownika. 12

Rysunek 13 Zarządzanie certyfikatami Należy nacisnąć przycisk Kopia zapasowa. Wyświetlone zostanie okno umożliwiające wskazanie lokalizacji pliku do którego zostanie wyeksportowany certyfikat. Rysunek 14 Wskazanie lokalizacji pliku Należy nacisnąć przycisk Zapisz. Wyświetlone zostanie okno umożliwiające zdefiniowanie hasła do pliku. 13

Rysunek 15 Definiowanie hasła do pliku Po zdefiniowaniu hasła należy nacisnąć przycisk OK. Certyfikat zostanie zapisany do pliku. Rysunek 16 Informacja o pomyślnym eksporcie certyfikatu 6. Podpisywanie kodu przy użyciu narzędzia SignCode 6.1. Podpisywanie kodu przy użyciu kreatora Przed rozpoczęciem podpisywania kodu należy zaimportować certyfikat z pliku do magazynu systemowego. Proces ten jest przedstawiony poniżej. Należy uruchomić plik certyfikat.p12. Uruchomiony zostanie kreator instalacji certyfikatu. 14

Rysunek 17 Kreator importu certyfikatu Należy nacisnąć przycisk Dalej. Rysunek 18 Kreator importu certyfikatu Należy nacisnąć przycisk Dalej. Wyświetlone zostanie okno, w którym należy podać hasło do certyfikatu. 15

Rysunek 19 Kreator importu certyfikatu hasło do certyfikatu Należy wprowadzić poprawne hasło, zaznaczyć opcję Oznacz ten klucz jako eksportowalny i nacisnąć przycisk Dalej. Rysunek 20 Kreator importu certyfikatu wybór docelowego magazynu Należy pozostawić domyślne ustawienia i nacisnąć przycisk Dalej. Wyświetlone zostanie końcowe okno. 16

Rysunek 21 Kreator importu certyfikatu okno końcowe Należy nacisnąć przycisk Zakończ. Certyfikat zostanie zaimportowany do Magazynu Systemowego. Rysunek 22 Informacja zaimportowaniu certyfikatu Należy uruchomić kreator signcode.exe. Należy nacisnąć przycisk Dalej. Rysunek 23 Kreator podpisów cyfrowych 17

Rysunek 24 Kreator podpisów cyfrowych wskazywanie pliku do podpisu Należy nacisnąć przycisk Przeglądaj. Wyświetlone zostanie okno umożliwiające wskazanie pliku, który ma zostać podpisany. Rysunek 25 Kreator podpisów cyfrowych wskazywanie pliku do podpisu Należy wskazać plik i nacisnąć przycisk Otwórz. 18

Rysunek 26 Kreator podpisów cyfrowych wskazany pliku do podpisu Należy nacisnąć przycisk Dalej. Rysunek 27 Kreator podpisów cyfrowych wybór typu podpisu Należy pozostawić domyślne ustawienia i nacisnąć przycisk Dalej. 19

Rysunek 28 Kreator podpisów cyfrowych wskazywanie certyfikatu podpisującego Należy nacisnąć przycisk Wybierz z magazynu. Wyświetlone zostanie okno umożliwiające wybór certyfikatu z Magazynu Systemowego. Rysunek 29 Kreator podpisów cyfrowych wskazywanie certyfikatu podpisującego Należy wybrać certyfikat i nacisnąć przycisk OK. 20

Rysunek 30 Kreator podpisów cyfrowych wybrany certyfikatu podpisujący Należy nacisnąć przycisk Dalej. Wyświetlone zostanie okno umożliwiające dodanie opisu.. Rysunek 31 Kreator podpisów cyfrowych dodawanie opisu Należy nacisnąć przycisk Dalej. Wyświetlone zostanie okno umożliwiające wskazanie serwera znacznika czasu poprzez, do podpisu zostanie dodany znacznik czasu. 21

Rysunek 32 Kreator podpisów cyfrowych wskazywanie serwera znacznika czasu Należy zaznaczyć opcję Dodaj sygnaturę czasową do danych i w Adresie URL wpisać http://time.certum.pl. Rysunek 33 Kreator podpisów cyfrowych wskazany serwer znacznika czasu Po wskazaniu serwera znacznika czasu należy nacisnąć przycisk Dalej. Wyświetlone zostanie okno końcowe. 22

Rysunek 34 Kreator podpisów cyfrowych okno końcowe Należy nacisnąć przycisk Zakończ. Wyświetlona zostanie informacja o pomyślnym zakończeniu procesu podpisywania kodu. Rysunek 35 Kreator podpisów cyfrowych informacja o pomyślnym zakończeniu działania kreatora 6.2. Podpisywanie kodu z linii poleceń Przed rozpoczęciem podpisywania kodu należy zaimportować certyfikat z pliku do magazynu systemowego. Proces ten jest przedstawiony poniżej. Należy uruchomić plik certyfikat.p12. Uruchomiony zostanie kreator instalacji certyfikatu. 23

Rysunek 36 Kreator importu certyfikatu Należy nacisnąć przycisk Dalej. Rysunek 37 Kreator importu certyfikatu Należy nacisnąć przycisk Dalej. Wyświetlone zostanie okno, w którym należy podać hasło do certyfikatu. 24

Rysunek 38 Kreator importu certyfikatu hasło do certyfikatu Należy wprowadzić poprawne hasło, zaznaczyć opcję Oznacz klucz jako eksportowalny i nacisnąć przycisk Dalej. Rysunek 39 Kreator importu certyfikatu wybór docelowego magazynu Należy pozostawić domyślne ustawienia i nacisnąć przycisk Dalej. Wyświetlone zostanie końcowe okno. 25

Rysunek 40 Kreator importu certyfikatu okno końcowe Należy nacisnąć przycisk Zakończ. Certyfikat zostanie zaimportowany do Magazynu Systemowego. Rysunek 41 Informacja zaimportowaniu certyfikatu Po zaimportowaniu certyfikatu do Magazynu Systemowego należy ustalić skrót z certyfikatu podpisującego. W tym celu należy włączyć Internet Explorer i wybrać z Menu Narzędzia Opcje internetowe Zawartość Certyfikaty i odnaleźć certyfikat podpisujący. 26

Rysunek 42 Magazyn Systemowy wybrany certyfikat do podpisywania kodu Następnie należy nacisnąć przycisk Wyświetl. Rysunek 43 Certyfikat do podpisywania kodu Należy wybrać Zakładkę Szczegóły i odczytać skrót sha1 z certyfikatu. 27

Rysunek 44 Certyfikat do podpisywania kodu skrót sha1 z certyfikatu Podpisanie kodu z linii poleceń polega na wydaniu następującej komendy: signcode -sha1 skrót_z_certyfikatu -a sha1 -t adres_znacznika_czasu -n nazwa_podpisujacego -i strona_z_informacjami plik_z_kodem_do_podpisania Przykładowe wywołanie z linii poleceń: signcode -sha1 7e59fe48284191e338ad4024ad82761148f443cd -a sha1 -t "http://time.certum.pl" -n "Unizeto Technologies SA" -i "http://www.unizeto.pl" application.exe 6.3. Weryfikacja podpisu Podpis można zweryfikować poprzez wyświetlenie właściwości podpisywanego pliku i przejście do zakładki Podpisy cyfrowe.. 28

Rysunek 45 Podpisany plik Właściwości Podpisy cyfrowe Po naciśnięciu przycisku Szczegóły zostaną wyświetlone informacje na temat podpisu wraz z wynikiem jego weryfikacji.. Rysunek 46 Podpisany plik Szczegóły podpisu 29

7. Podpisywanie kodu przy użyciu narzędzia SignTool 7.1. Podpisywanie kodu z linii poleceń Podpisanie kodu z linii poleceń polega na wydaniu następującej komendy: signtool sign /f certyfikat _pfx /p hasło_do_certyfikatu /t adres_znacznika_czasu kod_do_podpisania Przykładowe polecenie: signtool sign /f certyfikat.p12 /p 12345678 /t http://time.certum.pl application.exe 7.2. Weryfikacja podpisu Weryfikacja podpisu polega na wydaniu następującej komendy: signtool verify /pa nazwa_podpisanego_pliku Przykładowe wywołanie: signtool verify /pa application.exe 8. Podpisywanie kodu narzędziem jarsigner Przed przystąpieniem do podpisywania należy ustalić pod jakim aliasem zdeponowany jest klucz prywatny służący do podpisania kodu. W tym celu można skorzystać z aplikacji Key Tool GUI lub z aplikacji Portecle. UWAGA!!! 8.2. Odczyt aliasu w oprogramowaniu Portecle Aplikacja Portecle odczytuje prawidłowo tylko pliki pfx, dla których hasło jest najwyżej 7-znakowe. Należy uruchomić aplikację Portecle. 30

Rysunek 47 Aplikacja Portecle Następnie, z menu należy wybrać File Open Keystore i wskazać plik z certyfikatem, który posłuży do podpisania kodu. Rysunek 48 Aplikacja Portecle wybór certyfikatu do podpisu Należy wskazać plik certyfikatu i nacisnąć przycisk Open. Wyświetlone zostanie okno z prośbą o podanie hasła do certyfikatu. 31

Rysunek 49 Aplikacja Portecle wybór certyfikatu do podpisu Należy podać prawidłowe hasło i zatwierdzić je przyciskiem OK. W aplikacji pojawią się informacje na temat wybranego certyfikatu. Rysunek 50 Aplikacja Portecle informacje na temat wybranego certyfikatu do podpisu Należy odczytać alias. 8.2. Odczyt aliasu w oprogramowaniu Key Tool GUI Należy uruchomić aplikację Key Tool GUI. 32

Rysunek 51 Aplikacja Key Tool GUI Następnie, z menu należy wybrać File Open Keystore i wskazać plik z certyfikatem, który posłuży do podpisania kodu. Rysunek 52 Aplikacja Key Tool GUI wybór certyfikatu do podpisu Należy wskazać plik certyfikatu i nacisnąć przycisk Open. Wyświetlone zostanie okno z prośbą o podanie hasła do certyfikatu. 33

Rysunek 53 Aplikacja Key Tool GUI wybór certyfikatu do podpisu Należy podać prawidłowe hasło i zatwierdzić je przyciskiem OK. W aplikacji pojawią się informacje na temat wybranego certyfikatu. Rysunek 54 Aplikacja Key Tool GUI informacje na temat wybranego certyfikatu do podpisu Należy odczytać alias. 8.3. Wykonanie podpisu Po odczytaniu aliasu, w celu podpisania pliku jar należy uruchomić następującą komendę: jarsigner -J-Xms100m -J-Xmx200m -keystore plik_z_certyfikatem -storepass hasło_do_pliku_z_certyfikatem -tsa adres_znacznika_czasu -storetype pkcs12 plik_jar alias_do_klucza_prywatnego Przykładowe wywołanie: jarsigner -J-Xms100m -J-Xmx200m -keystore MS_CS_certyfikat.p12 -storepass 12345678 -tsa http://time.certum.pl -storetype pkcs12 web-core-2.2.2.jar "Unizeto Technologies SA - ID w Unizeto Technologies S.A." 34

9. Kontakt W przypadku jakichkolwiek pytań prosimy o kontakt z Operatorem naszej Infolinii: e-mail: infolinia@unizeto.pl nr tel.: 801 540 340 dla telefonów komórkowych +48 91 4801 340 Z poważaniem Zespół CERTUM PCC 35

10. Spis rysunków Rysunek 1 Konto w Sklepie... 4 Rysunek 2 - Aktywacja certyfikatu... 5 Rysunek 3 Wybór metody dostarczenia kluczy do certyfikatu... 5 Rysunek 4 Wybór poziomu zabezpieczeń... 6 Rysunek 5 Informacja o poprawnym wygenerowaniu kluczy... 6 Rysunek 6 Treść certyfikatu... 7 Rysunek 7 Podsumowanie - treść certyfikatu... 8 Rysunek 8 Strona główna Sklepu... 9 Rysunek 9 e-mail z informacją o wydaniu certyfikatu... 11 Rysunek 10 Formularz umożliwiający instalację certyfikatu... 11 Rysunek 11 Informacja o zainstalowaniu certyfikatu... 12 Rysunek 12 Zarządzanie certyfikatami... 12 Rysunek 13 Zarządzanie certyfikatami... 13 Rysunek 14 Wskazanie lokalizacji pliku... 13 Rysunek 15 Definiowanie hasła do pliku... 14 Rysunek 16 Informacja o pomyślnym eksporcie certyfikatu... 14 Rysunek 17 Kreator importu certyfikatu... 15 Rysunek 18 Kreator importu certyfikatu... 15 Rysunek 19 Kreator importu certyfikatu hasło do certyfikatu... 16 Rysunek 20 Kreator importu certyfikatu wybór docelowego magazynu... 16 Rysunek 21 Kreator importu certyfikatu okno końcowe... 17 Rysunek 22 Informacja zaimportowaniu certyfikatu... 17 Rysunek 23 Kreator podpisów cyfrowych... 17 Rysunek 24 Kreator podpisów cyfrowych wskazywanie pliku do podpisu... 18 Rysunek 25 Kreator podpisów cyfrowych wskazywanie pliku do podpisu... 18 Rysunek 26 Kreator podpisów cyfrowych wskazany pliku do podpisu... 19 Rysunek 27 Kreator podpisów cyfrowych wybór typu podpisu... 19 Rysunek 28 Kreator podpisów cyfrowych wskazywanie certyfikatu podpisującego... 20 Rysunek 29 Kreator podpisów cyfrowych wskazywanie certyfikatu podpisującego... 20 Rysunek 30 Kreator podpisów cyfrowych wybrany certyfikatu podpisujący... 21 Rysunek 31 Kreator podpisów cyfrowych dodawanie opisu... 21 Rysunek 32 Kreator podpisów cyfrowych wskazywanie serwera znacznika czasu... 22 Rysunek 33 Kreator podpisów cyfrowych wskazany serwer znacznika czasu... 22 Rysunek 34 Kreator podpisów cyfrowych okno końcowe... 23 Rysunek 35 Kreator podpisów cyfrowych informacja o pomyślnym zakończeniu działania kreatora 23 Rysunek 36 Kreator importu certyfikatu... 24 Rysunek 37 Kreator importu certyfikatu... 24 Rysunek 38 Kreator importu certyfikatu hasło do certyfikatu... 25 Rysunek 39 Kreator importu certyfikatu wybór docelowego magazynu... 25 Rysunek 40 Kreator importu certyfikatu okno końcowe... 26 36

Rysunek 41 Informacja zaimportowaniu certyfikatu... 26 Rysunek 42 Magazyn Systemowy wybrany certyfikat do podpisywania kodu... 27 Rysunek 43 Certyfikat do podpisywania kodu... 27 Rysunek 44 Certyfikat do podpisywania kodu skrót sha1 z certyfikatu... 28 Rysunek 45 Podpisany plik Właściwości Podpisy cyfrowe... 29 Rysunek 46 Podpisany plik Szczegóły podpisu... 29 Rysunek 47 Aplikacja Portecle... 31 Rysunek 48 Aplikacja Portecle wybór certyfikatu do podpisu... 31 Rysunek 49 Aplikacja Portecle wybór certyfikatu do podpisu... 32 Rysunek 50 Aplikacja Portecle informacje na temat wybranego certyfikatu do podpisu... 32 Rysunek 51 Aplikacja Key Tool GUI... 33 Rysunek 52 Aplikacja Key Tool GUI wybór certyfikatu do podpisu... 33 Rysunek 53 Aplikacja Key Tool GUI wybór certyfikatu do podpisu... 34 Rysunek 54 Aplikacja Key Tool GUI informacje na temat wybranego certyfikatu do podpisu... 34 37