13 нояб. 2024 г.

Скачать и установить сертификат подписи кода на Rutoken 3.0

Введение

Эта статья представляет пошаговую инструкцию по загрузки и установки сертификатов подписи кода (Code Signing) и (EV Code Signing) на Rutoken 3.0.
Если это не то решение, которое вы ищете, пожалуйста, введите ваш запрос в поисковой строке выше.

Пошаговая инструкция

1.    Установите драйвер Рутокен по этой ссылке:
       https://www.rutoken.ru/support/download/windows/

2.    Установите приложение Fortify по этой ссылке:
       https://fortifyapp.com/

3.    После того, как вы получите USB токен и ваш сертификат был выпущен, откройте ссылку в электронном письме для установки в Google Chrome.
       Примечание: Рутокен не поддерживает метод установки IE.

4.    Вы можете посмотреть следующее видео, чтобы получить руководство по установке.
       Примечание: Пароль Рутокена по умолчанию: 12345678. 

 

 

Использование сертификатов подписи кода в Signtool

Необходимые условия

• Сертификат подписи кода GlobalSign, загруженный и установленный на USB токен.
• Пакет средств разработки программного обеспечения (SDK) для Windows 8.1

• Для заказов SHA-256 может дополнительно потребоваться кросс-сертификат GlobalSign Code Signing Root R45 (R3 cross). 
  Кросс-сертификат GlobalSign Code Signing Root R45 (R3 cross) должен быть установлен на подписывающем компьютере, но не указан в качестве дополнительного сертификата во время процедуры подписи.

Важные параметры SignTool

• /ac - указавает дополнительный сертификат.
• /a — автоматически выбирает сертификат для подписи файла из хранилища сертификатов Windows.
• /n " Common Name сертификата" указывает определенный сертификат для подписи файла из хранилища сертификатов Windows с использованием Common name сертификата.
• /fd SHA256 — указывает алгоритм дайджеста файла, используемый при создании подписей файлов.
• /t — указывает сервер временных меток, совместимый с Microsoft Authenticode.
• /tr — указывает доверенный сервер временных меток, совместимый с RFC 3161.*Рекомендуется*
• /td SHA256 - Должна вызываться после "/tr", эта команда определяет алгоритм дайджеста TimeStamp. * Рекомендуется*

                    

Примечание: Временная метка в коде чрезвычайно важна и настоятельно рекомендуется для каждого фрагмента кода, который вы подписываете.
Эта метка позволит подписываемому файлу оставаться действительным еще долгое время после истечения срока действия самого сертификата.

URL-адрес TimeStamp:
На основе SHA-2: http://timestamp.globalsign.com/tsa/r6advanced1

Процедура

1.    Вы можете подписывать файлы из рабочего каталога, либо поместить их в папку Windows SDK\bin.

2.    Откройте командную строку с правами Администратора: Windows 7: Пуск > Выполнить > cmd, или для Windows 8 - 10 нажмите клавишу Windows,                затем введите cmd и нажмите Enter.

3.    Перейдите в каталог Windows SDK\bin, где находится signtool.exe.

4.    Используйте следующую команду, чтобы подписать файл:
       signtool sign /a /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd SHA256 c:/path/to/your/file.exe

5.    Введите пароль токена. Если подписание прошло успешно, вы увидите подсказку, информирующую вас об этом.

6.    Чтобы проверить подпись, используйте следующие команды:
       Для подписи приложений: signtool verify /v /pa
       Для подписи драйверов: signtool verify /v /kp

Вы также можете проверить подпись в свойствах файла на вкладке Цифровые подписи.

 

Использование сертификатов подписи кода в Java

 
1.    Установите последнюю версию java. (JDK).
       Примечание: Это необходимо для keytool и подписания файла.

2.    Найдите файл: "rtPKCS11ECP.dll", f.i.. C:\Windows\System32\rtPKCS11ECP.dll
       Примечание: Вы можете получить его с сайта SDK: https://www.rutoken.ru/developers/sdk 

3.    Скачайте последнюю версию jsign по этой ссылке и добавьте файл в библиотеку (папка java jdk bin): https://github.com/ebourg/jsign/releases/download/5.0/jsign-5.0.jar  

4.    Создайте файл с именем «eToken.cfg». Добавьте путь к библиотеке и номер слота, в который подключается токен (по умолчанию 0), как показано ниже и добавьте файл в библиотеку (папка java jdk bin):

name = OpenSC-PKCS11
description = SunPKCS11 via OpenSC
library = C:\Windows\System32\rtPKCS11ECP.dll
slotListIndex = 0

5.    Запустите CMD (командная строка) от имени администратора и укажите путь к папке java jdk bin.

6.    Получите список сертификатов c вашего токена с помощью следующей команды:

keytool -list -v -keystore NONE -storetype PKCS11 -storepass 12345678 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg eToken.cfg
Примечание: "-storepass 12345678" является паролем от вашего токена.

7.    Вам необходимо поле сертификата: "Alias name " (например, Alias name: RSA)

8.    Подпишите файл "File.exe":

java -jar jsign-5.0.jar --keystore eToken.cfg --alias "RSA" --storetype PKCS11 --storepass 12345678 --alg SHA-256 --tsaurl http://timestamp.globalsign.com/tsa/r6advanced1 --tsmode RFC3161 File.exe