Utilice la herramienta de generación y edición de manifiestos de Microsoft (Mage.exe) AWS CloudHSM para firmar archivos

Inicie una EC2 instancia y un AWS CloudHSM clúster de Windows siguiendo las instrucciones de la sección Introducción de esta guía.

Si desea alojar su propia CA de Windows Server, complete los pasos 1 y 2 de la sección Configuración de Windows Server como entidad emisora de certificados con AWS CloudHSM. De lo contrario, utilice la CA de terceros de confianza pública.

Descarga e instala el SDK de Microsoft Windows para .NET Framework 4.8.1 o una versión posterior en tu EC2 instancia de Windows:

El ejecutable mage.exe forma parte de las herramientas del SDK de Windows. La ubicación de instalación predeterminada es:

C:\Program Files (x86)\Windows Kits\<SDK version>\bin\<version number>\x64\Mage.exe

Conéctese a su EC2 instancia de Windows. Para obtener más información, consulte Connect to Your Instance en la Guía del EC2 usuario de Amazon.

Cree un archivo llamado request.inf con el siguiente contenido. Reemplace la información de Subject por los datos de la organización:

[Version]
Signature= $Windows NT$
[NewRequest]
Subject = "C=<Country>,CN=<www.website.com>,O=<Organization>,OU=<Organizational-Unit>,L=<City>,S=<State>"
RequestType=PKCS10
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE"
MachineKeySet = True
Exportable = False

Para ver una explicación de cada uno de los parámetros, consulte la documentación de Microsoft.

Ejecute certreq.exe para generar la CSR:

certreq.exe -new request.inf request.csr

Este comando genera un nuevo key pair en el AWS CloudHSM clúster y utiliza la clave privada para crear la CSR.

Envíe la CSR a su CA. Si utiliza una CA de Windows Server, siga estos pasos:

1. Abra la herramienta de la CA:

   certsrv.msc

2. En la ventana nueva, haga clic con el botón derecho del ratón en el nombre del servidor de la CA. Elija Todas las tareas y, a continuación, elija Enviar solicitud nueva.

3. Vaya a la ubicación de request.csr y seleccione Abrir.

4. Expanda el menú CA de Server y vaya a la carpeta Solicitudes pendientes. Haga clic con el botón derecho en la solicitud que acaba de crear, seleccione Todas las tareas y, a continuación, seleccione Emitir

5. Vaya a la carpeta Certificados emitidos.

6. Elija Abrir para ver el certificado y, a continuación, elija la pestaña Detalles.

7. Elija Copiar en archivo para iniciar el Asistente para exportación de certificados. Guarde en un lugar seguro el archivo X.509 con codificación DER como signedCertificate.cer.

8. Salga de la herramienta de la CA y ejecute el siguiente comando para mover el archivo del certificado al almacén de certificados Personal en Windows.

   certreq.exe -accept signedCertificate.cer

Vaya al directorio que contiene mage.exe. La ubicación predeterminada es:

C:\Program Files (x86)\Microsoft SDKs\Windows\v10.0A\bin\NETFX 4.8.1 Tools\x64

Para crear un archivo de aplicación de ejemplo con Mage.exe, ejecute el siguiente comando:

mage.exe -New Application -ToFile C:\Users\Administrator\Desktop\sample.application

PowerShell Ábrelo como administrador y ejecuta el siguiente comando:

Get-ChildItem -path cert:\LocalMachine\My

Copie los valores Thumbprint, Key Container y Provider desde la salida.

Firme el archivo mediante la ejecución del siguiente comando:

mage.exe -Sign -CertHash <thumbprint> -KeyContainer <keycontainer> -CryptoProvider <CloudHSM Key Storage Provider/Cavium Key Storage Provider> C:\Users\Administrator\Desktop\<sample.application>

Si el comando se ejecuta correctamente, PowerShell devuelve un mensaje de éxito.

Para verificar la firma del archivo, use el siguiente comando:

mage.exe -Verify -CryptoProvider <CloudHSM Key Storage Provider/Cavium Key Storage Provider> C:\Users\Administrator\Desktop\<sample.application>