Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика
Добрый день!
Решаю ту же задачу, автоматическое подписание кода ключом с Рутокена 3.0. Пришлите, пожалуйста, инструкцию по кэшированию PIN кода.
Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Техническая поддержка пользователей → Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика
Страницы Назад 1 … 10 11 12 13 14 15 Далее
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Добрый день!
Решаю ту же задачу, автоматическое подписание кода ключом с Рутокена 3.0. Пришлите, пожалуйста, инструкцию по кэшированию PIN кода.
Здравствуйте, georgevf, отправили вам инструкцию на почту, указанную при регистрации.
Здравствуйте, dmitriys, отправили вам инструкцию на почту, указанную при регистрации.
Фатеева Светлана, Добрый день! можно тоже инструкции отправить?
Здравствуйте, golovach, отправили вам инструкцию на почту, указанную при регистрации.
Добрый день!
Пришлите, пожалуйста, инструкцию по кешированию PIN кода.
ivchpavel, в личку тут писать нельзя (кроме админов видимо).
Готового решения нет, есть самописная реализация конкретно под мои задачи.
Но если в общем, то процесс такой:
1. Экспортируем публичный ключ с токена
2. Генерируем *.dig файл для подписанного бинарника на машине, где нет токен (но должен быть файл, например my.cer с публичной экспортированной подписью):
signtool sign /v /f my.cer /fd SHA256 /dg . "my.exe"
3. Подписываем данные из dig-файла. В нём просто просто хеш, закодированный, в base64. Подписывать можно любым "внешним" софтом. Надо только понимать, что кому-то на вход нужны бинарные данные, а не base-64 (тогда его надо будет раскодировать).
4. Подписанные данные также сохраняем в base64 в файл my.exe.dig.signed и помещаем в папку рядом с основным и dig файлом.
5. Добавляем подпись в файл
signtool sign /di . "my.exe"
6. Ну и добавляем timestamp
signtool timestamp /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 "my.exe"Всё что выше "my" - надо заменить на свои значение (в одном случае - свой сертификат, во втором - свой подписываемый файл).
Подписание msix в таком случае не работает - там процесс сложнее (но его тоже удалось решить).
По указанному выше принципу у меня был реализован свой веб-сервер с физическим токеном, который принимает base64 текст, подписывает его и отправляет обратно. А в ci/cd уже вся работа с signtool по генерации dig-файлов и добавлению итоговой подписи.
Есть более простой вариант, но более накладный с точки зрения сетки - можно просто передавать полностью бинарный файл и подписывать через signtool непосредственно на машине с физическим токеном (инструкцию, как в данном случае запомнить пин, можно запросить у Аверченко Кирилла, он направляет её на почту).
p.nick, не подскажете, что за "внешний" софт? Или, если писать свой, то куда копать для рутокена?
Добрый день!
Пришлите, пожалуйста, инструкцию по кешированию PIN кода.
Здравствуйте, aleksey.margolin, отправили вам инструкцию на почту, указанную при регистрации.
Добрый день!
Пришлите, пожалуйста, инструкцию по кешированию PIN кода.
Здравствуйте, zagorovsky_v, отправили вам инструкцию на почту, указанную при регистрации.
Добрый день!
Пришлите, пожалуйста, инструкцию по кешированию PIN кода.
Здравствуйте, DenisL, отправили вам инструкцию на почту, указанную при регистрации.
Добрый день!
Пришлите, пожалуйста, инструкцию по кешированию PIN кода.
Здравствуйте, andrei_et,
отправили вам инструкцию на почту, указанную при регистрации.
Страницы Назад 1 … 10 11 12 13 14 15 Далее
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Техническая поддержка пользователей → Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика