Use a Ferramenta de Geração e Edição de Manifestos da Microsoft (Mage.exe) com AWS CloudHSM para assinar arquivos

Execute uma EC2 instância do Windows e um AWS CloudHSM cluster seguindo as instruções na seção Introdução deste guia.

Se você quiser hospedar sua própria CA do Windows Server, conclua as etapas 1 e 2 em Configurando o Windows Server como uma autoridade de certificação com AWS CloudHSM. Caso contrário, use a sua CA terceirizada confiável publicamente.

Baixe e instale o SDK do Microsoft Windows para .NET Framework 4.8.1 ou posterior em sua EC2 instância do Windows:

O executável mage.exe faz parte das ferramentas do SDK do Windows. O local de instalação padrão é:

C:\Program Files (x86)\Windows Kits\<SDK version>\bin\<version number>\x64\Mage.exe

Conecte-se à sua EC2 instância do Windows. Para obter mais informações, consulte Connect to Your Instance no Guia EC2 do usuário da Amazon.

Crie um arquivo chamado request.inf com o conteúdo a seguir. Substitua as informações de Subject pelos detalhes da sua organização:

[Version]
Signature= $Windows NT$
[NewRequest]
Subject = "C=<Country>,CN=<www.website.com>,O=<Organization>,OU=<Organizational-Unit>,L=<City>,S=<State>"
RequestType=PKCS10
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE"
MachineKeySet = True
Exportable = False

Para obter uma explicação de cada parâmetro, consulte a Documentação da Microsoft.

Execute certreq.exe para gerar a CSR:

certreq.exe -new request.inf request.csr

Esse comando gera um novo par de chaves em seu AWS CloudHSM cluster e usa a chave privada para criar a CSR.

Envie a CSR à sua CA. Se estiver usando uma CA do Windows Server, siga estas etapas:

1. Abra a ferramenta de CA:

   certsrv.msc

2. Na nova janela, clique com o botão direito do mouse no nome do servidor da CA. Escolha All Tasks (Todas as tarefas) e depois escolha Submit new request (Enviar nova solicitação).

3. Navegue até o local de request.csr e escolha Abrir.

4. Navegue até a pasta Solicitações pendentes expandindo o menu CA do servidor. Clique com o botão direito do mouse na solicitação que você acabou de criar e, em Todas as tarefas, escolha Problema.

5. Acesse a pasta Certificados emitidos.

6. Escolha Open (Abrir) para visualizar o certificado e depois escolha a guia Details (Detalhes).

7. Escolha Copy to File (Copiar no arquivo) para iniciar o Certificate Export Wizard (Assistente de exportação da CA). Salve o arquivo X.509 codificado por DER em um local seguro como signedCertificate.cer.

8. Saia da ferramenta de CA e execute o comando a seguir para mover o arquivo do certificado para o armazenamento de certificados pessoais no Windows.

   certreq.exe -accept signedCertificate.cer

Acesse o diretório que contém mage.exe. O local padrão é:

C:\Program Files (x86)\Microsoft SDKs\Windows\v10.0A\bin\NETFX 4.8.1 Tools\x64

Para criar um arquivo de aplicação de amostra usando Mage.exe, execute o seguinte comando:

mage.exe -New Application -ToFile C:\Users\Administrator\Desktop\sample.application

Abra PowerShell como administrador e execute o seguinte comando:

Get-ChildItem -path cert:\LocalMachine\My

Copie os valores Thumbprint, Key Container e Provider do resultado.

Assine seu arquivo executando o seguinte comando:

mage.exe -Sign -CertHash <thumbprint> -KeyContainer <keycontainer> -CryptoProvider <CloudHSM Key Storage Provider/Cavium Key Storage Provider> C:\Users\Administrator\Desktop\<sample.application>

Se o comando for bem-sucedido, PowerShell retornará uma mensagem de sucesso.

Para verificar a assinatura no arquivo, use o seguinte comando:

mage.exe -Verify -CryptoProvider <CloudHSM Key Storage Provider/Cavium Key Storage Provider> C:\Users\Administrator\Desktop\<sample.application>