Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Maria Nikonova пишет:

У меня не получается подписывать файлы с помощью signtool, если сертификат зарегистрирован через "Aktiv ruToken CSP v1.0".

Опишите, пожалуйста, подробнее прблему с которой вы столкнулись. Что вы делаете и на каком этапе возникают ошибки?

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

У меня стоит задача подписать код  в gitlab ci/cd.  Пока тестирую подпись вручную на раннере (win 10), подключаюсь к нему по rdp. Драйвера рутокена на раннер установила последней версии 4.18.5.0. Сертификат у нас GlobalSign EV code signing. В панели управления рутокеном сертификат отображается нормально
https://forum.rutoken.ru/uploads/images/2024/04/f200a314f75312ef8152afb7bac5b977.jpg

В этом случае, когда сертификат зарегистрирован через "Microsoft Base Samrt Card Crypto Provider" подписать msi файл получается. Команду использую следующую:

signtool sign /sha1 "значение поля отпечаток" /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 c:/path/to/file.msi

Если изменяю криптопровайдера на "Aktiv ruToken CSP v1.0", то команда выше завершается ошибкой:

SignTool Error: The specified private key container was not found.

Пробовала вместо параметра /sha1 указывать параметры /kc "контейнер" и /csp "Aktiv ruToken CSP v1.0" - результат тот же (ошибка).

Не понимаю почему не получается подписать файл в случае, когда сертификат зарегистрирован через "Aktiv ruToken CSP v1.0", как сказано в вашей инструкции по кэшированию пина.

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Здравствуйте!
А можно поделиться инструкцией по отключению запроса PIN-кода?
Необходимо интегрировать подпись в CI/CD. Вручную с вводом ПИН всё работает отлично.

(2024-04-22 15:05:00 отредактировано Фатеева Светлана)

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Здравствуйте, a.kost,
отправили вам инструкцию на почту, указанную при регистрации.

(2024-04-23 11:41:23 отредактировано a.kost)

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Добрый день!
Может быть кому-то будет полезно.
1. Что имеем
- Win10
- Рутокен ЭЦП 3.0.0
- сертификат GlobalSign EV code signing
- криптопровайдер по-умолчанию Aktiv ruToken CSP v1.0
- CI/CD (Jenkins)
- версия драйверов 4.18.5.0
2. Задача
- интегрировать подпись файлов в CI/CD
3. Кэширование ПИН по присланной инструкции не требуется !!!
4. Отлично подходит способ описанный здесь: https://support.globalsign.com/code-sig … rutoken-30 в разделе "Using Code Signing and EV Code Signing (Rutoken, Driver version below 4.17.0.0)" !!!!!. Downgrade для драйверов не требуется !!!
5 Всем удачи и хорошего дня! :)

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Maria Nikonova, можете воспользоваться инструкцией по ссылке.

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Добрый день.
Нам нужно подписать надстройку *.mox для Моего Офиса.
При подписи с помощью signtool получаем ошибку
$ signtool sign /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd SHA256 /sha1 "отпечаток" /v C:\Temp\test.mox
..
"SignTool Error: This file format cannot be signed because it is not recognized."
..
Вендор предлагает делать это его утилитой через команду
mox sign --package=${package} --certificate=${certificate path} --private-key=${private key path} --
passphrase=${passphrase}
Параметры:
-p [ --package ] путь к директорию, содержащему надстройку
-c [ --certificate ] путь к сертификату
-k [ --private-key ] путь к закрытому ключу
-s [ --passphrase ] секретный пароль для расшифровки закрытого ключа

А как этим воспользоваться с опциями --certificate=${certificate path} и --private-key=${private key path}, если у нас неэкспортируемый сертификат рутокена на физическом ключе?

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Здравствуйте!
Подскажите, пожалуйста, каким образом можно автоматизировать подпись кода с помощью Рутокен ЭЦП 3.0 и свежими драйверами для CI/CD?
С ручным вводом PIN-кода всё работает.
Выше в треде видел, что можно получить инструкцию на почту.
Спасибо!

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Здравствуйте, georgiy.karpov,
отправили вам инструкцию на почту, указанную при регистрации.

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

eie, а через jsign пробовали? https://support.globalsign.com/code-sig … rutoken-30

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Аверченко Кирилл пишет:

eie, а через jsign пробовали? https://support.globalsign.com/code-sig … rutoken-30

Добрый день.
Попробовал, но, к сожалению, тоже не работает

c:\Program Files\Java\jdk-22\bin>java -jar jsign-5.0.jar --keystore eToken.cfg --alias "RSA" --storetype PKCS11 --storepass 12345678 --alg SHA-256 --tsaurl http://timestamp.globalsign.com/tsa/r6advanced1 --tsmode RFC3161 C:\Temp\test-app\test.mox
jsign: Unsupported file: C:\Temp\test-app\test.mox
Try `java -jar jsign.jar --help' for more information

Причем с exe-файлом та же операция выполнилась успешно...

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Федосов Никита пишет:

Здравствуйте, georgiy.karpov,
отправили вам инструкцию на почту, указанную при регистрации.

Добрый день, а можно и мне на почту такую же инструкцию?

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

eie, а это файл именно для работы Мой Офиса?
Вендор=Мой Офис?

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Аверченко Кирилл пишет:

eie, а это файл именно для работы Мой Офиса?
Вендор=Мой Офис?

Да, вендор - Мой офис. Расширение файла их эксклюзивное. Файл надстройки для Мой офис.
У них есть утилита для подписания своя mox sign, которую приводил выше, но она похоже пока не заточена под неэкспортируемый ключ. Вопросы им тоже задали, но пока молчат.

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

eie, мы со своей стороны так же обратились к ним.