Gunakan Microsoft Manifest Generation dan Editing Tool (Mage.exe) AWS CloudHSM untuk menandatangani file - AWS CloudHSM
Langkah 1: Siapkan prasyaratLangkah 2: Buat sertifikat penandatangananLangkah 3: Tanda tangani file

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan Microsoft Manifest Generation dan Editing Tool (Mage.exe) AWS CloudHSM untuk menandatangani file

catatan

AWS CloudHSM hanya mendukung alat Mage 64-bit yang disertakan dalam Windows SDK untuk.NET Framework 4.8.1 dan yang lebih baru.

Topik berikut memberikan ikhtisar tentang cara menggunakan Mage.exe dengan AWS CloudHSM.

Langkah 1: Siapkan prasyarat

Untuk menggunakan Microsoft Mage.exe dengan AWS CloudHSM, Anda memerlukan yang berikut:

  • EC2 Instans Amazon yang menjalankan sistem operasi Windows

  • Otoritas sertifikat (CA), baik yang dikelola sendiri atau dari penyedia pihak ketiga

  • AWS CloudHSM Cluster aktif di virtual private cloud (VPC) yang sama dengan EC2 instans Anda, dengan setidaknya satu HSM

  • Pengguna kripto (CU) untuk memiliki dan mengelola kunci di AWS CloudHSM cluster

  • File yang tidak ditandatangani atau dapat dieksekusi

  • Kit Pengembangan Perangkat Lunak Microsoft Windows (SDK)

Untuk mengatur prasyarat untuk menggunakan dengan Mage.exe AWS CloudHSM

  1. Luncurkan EC2 instance Windows dan AWS CloudHSM cluster dengan mengikuti petunjuk di bagian Memulai panduan ini.

  2. Jika Anda ingin meng-host Windows Server CA Anda sendiri, selesaikan langkah 1 dan 2 dalam Mengkonfigurasi Windows Server sebagai Otoritas Sertifikat dengan AWS CloudHSM. Jika tidak, gunakan CA pihak ketiga tepercaya publik Anda.

  3. Unduh dan instal Microsoft Windows SDK for .NET Framework 4.8.1 atau yang lebih baru pada contoh Windows Anda EC2 :

    mage.exeExecutable adalah bagian dari Windows SDK Tools. Lokasi instalasi default adalah:

    C:\Program Files (x86)\Windows Kits\<SDK version>\bin\<version number>\x64\Mage.exe

Setelah menyelesaikan langkah-langkah ini, Anda dapat menggunakan Microsoft Windows SDK, AWS CloudHSM klaster, dan CA untuk membuat sertifikat penandatanganan.

Langkah 2: Buat sertifikat penandatanganan

Sekarang setelah Anda menginstal Windows SDK pada EC2 instans Anda, Anda dapat menggunakannya untuk menghasilkan permintaan penandatanganan sertifikat (CSR). CSR adalah sertifikat yang tidak ditandatangani yang Anda kirimkan ke CA untuk ditandatangani. Dalam contoh ini, kami menggunakan certreq executable yang disertakan dengan Windows SDK untuk menghasilkan CSR.

Untuk menghasilkan CSR menggunakan certreq yang dapat dieksekusi

  1. Connect ke EC2 instans Windows Anda. Untuk informasi selengkapnya, lihat Connect to Your Instance di Panduan EC2 Pengguna Amazon.

  2. Buat file dengan nama request.inf dengan konten berikut ini. Ganti Subject informasi dengan detail organisasi Anda:

    [Version]
Signature= $Windows NT$
[NewRequest]
Subject = "C=<Country>,CN=<www.website.com>,O=<Organization>,OU=<Organizational-Unit>,L=<City>,S=<State>"
RequestType=PKCS10
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE"
MachineKeySet = True
Exportable = False

    Untuk penjelasan tentang setiap parameter, lihat Dokumentasi Microsoft.

  3. Jalankan certreq.exe untuk menghasilkan CSR:

    certreq.exe -new request.inf request.csr

    Perintah ini menghasilkan key pair baru di AWS CloudHSM cluster Anda dan menggunakan kunci pribadi untuk membuat CSR.

  4. Kirimkan CSR ke CA Anda. Jika Anda menggunakan Windows Server CA, ikuti langkah-langkah berikut:

    1. Buka alat CA:

      certsrv.msc

    2. Di jendela baru, klik kanan nama server CA. Pilih Semua Tugas, lalu pilih Kirim permintaan baru.

    3. Arahkan ke lokasi request.csr dan pilih Buka.

    4. Perluas menu Server CA dan arahkan ke folder Permintaan Tertunda. Klik kanan permintaan yang baru saja Anda buat, pilih Semua Tugas, lalu pilih Masalah.

    5. Arahkan ke folder Sertifikat yang Diterbitkan.

    6. Pilih Buka untuk melihat sertifikat, dan kemudian memilih tab Detail.

    7. Pilih Salin ke File untuk memulai Wizard Ekspor Sertifikat. Simpan file Der-encoded X.509 ke lokasi aman sebagai signedCertificate.cer.

    8. Keluar dari alat CA dan jalankan perintah berikut untuk memindahkan file sertifikat ke Personal Certificate Store di Windows:

      certreq.exe -accept signedCertificate.cer

Anda sekarang dapat menggunakan sertifikat yang diimpor untuk menandatangani file.

Langkah 3: Tanda tangani file

Sekarang Anda memiliki Mage.exe dan sertifikat impor Anda, Anda dapat menandatangani file. Anda perlu mengetahui hash SHA-1 sertifikat, atau cap jempol. Cetak jempol memastikan bahwa Mage.exe hanya menggunakan sertifikat yang diverifikasi oleh. AWS CloudHSM Dalam contoh ini, kita gunakan PowerShell untuk mendapatkan hash sertifikat.

Untuk mendapatkan cap jempol sertifikat dan menggunakannya untuk menandatangani file

  1. Arahkan ke direktori yang berisimage.exe. Lokasi defaultnya adalah:

    C:\Program Files (x86)\Microsoft SDKs\Windows\v10.0A\bin\NETFX 4.8.1 Tools\x64

  2. Untuk membuat contoh file aplikasi menggunakan Mage.exe, jalankan perintah berikut:

    mage.exe -New Application -ToFile C:\Users\Administrator\Desktop\sample.application

  3. Buka PowerShell sebagai administrator dan jalankan perintah berikut:

    Get-ChildItem -path cert:\LocalMachine\My

    SalinThumbprint,Key Container, dan Provider nilai dari output.

    Hash sertifikat akan ditampilkan sebagai cap jempol, keycontainer, dan penyedia dalam output

  4. Tanda tangani file Anda dengan menjalankan perintah berikut:

    mage.exe -Sign -CertHash <thumbprint> -KeyContainer <keycontainer> -CryptoProvider <CloudHSM Key Storage Provider/Cavium Key Storage Provider> C:\Users\Administrator\Desktop\<sample.application>

    Jika perintah berhasil, PowerShell mengembalikan pesan sukses.

  5. Untuk memverifikasi tanda tangan pada file, gunakan perintah berikut:

    mage.exe -Verify -CryptoProvider <CloudHSM Key Storage Provider/Cavium Key Storage Provider> C:\Users\Administrator\Desktop\<sample.application>