我们最近从DigiCert购买了EV代码签名证书,以签署我们的MSI以解决Windows SmartScreen警告消息。问题是证书被传递到USB令牌,不允许导出私钥。我们的构建环境位于托管VM上,因此我们无法将USB令牌插入主机VM。
有没有人有在托管虚拟机上使用EV代码签名证书的解决方案?是否所有证书供应商都将此类证书提供给硬件令牌?如何使用此类证书在虚拟环境中对MSI进行签名?
答案 0 :(得分:2)
我对我们完全没有问题。我们在不到15分钟的时间内从PFX(文件)支持的标准代码签名证书切换到USB令牌支持的EV代码签名证书。
我只需将USB令牌设备连接到VMWare中的客户端操作系统(请参阅客户端操作系统窗口右下角的图标),安装必要的设备驱动程序,将选项设置为要求每个会话只能解锁一次密码,然后很高兴。
至于如何签名,您就像使用任何其他证书一样签名。如果操作系统的证书存储区中没有其他适用的代码签名证书,则则您甚至不必指定证书的位置。
我担心我们会遇到麻烦,但事实并非如此。所以,我认为你不会,也不知道你为什么会遇到麻烦。
答案 1 :(得分:1)
EV代码签名证书需要使用特殊硬件来存储私钥。这是使它们比标准证书更昂贵和更安全的部分原因。我的建议是使用signtool.exe作为构建后步骤在主机上签署可执行文件。
普通代码签名证书没有硬件要求,但它们不像EV证书那样“SmartScreen Filter Friendly”。
答案 2 :(得分:1)
对于遇到此问题的其他人,我们使用VNC Server连接到其上有令牌的VM。它没有在RDP上工作,只有VNC。
显然,VNC就像拥有控制台访问盒子一样(就EV Dongle而言)。
答案 3 :(得分:0)
某些虚拟化软件(包括VMware)允许重定向USB设备。
答案 4 :(得分:0)
SafeNet 客户端附带的加密提供程序正在使用 SmardCardAPI (winscard.dll) 访问 USB 令牌。由于智能卡也用于身份验证/登录目的,RDP 堆栈将始终重定向对 RDP 客户端计算机的任何访问。
对于代码签名等场景,这种行为可能非常麻烦。我们使用专用的虚拟机进行签名,每个有权访问这台机器的开发人员都应该能够执行签名过程。对于 COVID-19 和所有在家工作的开发人员,使用本地 USB 端口的想法是不可行的。我们的 USB 令牌连接到专用机器。每次您通过 RDP 连接到这台机器时,加密狗都无法再访问,因为 SmartCardAPI 将重定向访问。
这个问题有一个解决方案: 智能卡堆栈使用 API 调用
ProcessIdToSessionId
WinStationGetCurrentSessionCapabilities
确定当前进程是否正在 RDP 会话中运行。通过将 DLL 注入 signtool 并使用 Detours 框架,您可以挂钩这些 API 调用并报告本地会话,因此 SmardCardAPI 将访问连接到远程虚拟机的加密狗。
https://github.com/microsoft/Detours
迂回的函数非常简单(代码简化为重要的东西,所以你可以理解)
DWORD WINAPI ProcessIdToSessionIdLocal(DWORD dwProcessId, DWORD *pSessionId)
{
OutputDebugString("Detoured ProcessIdToSessionId\r\n");
if (pSessionId)
pSessionId = 0;
return TRUE;
}
BOOL WINAPI WinStationGetCurrentSessionCapabilitiesLocal(DWORD flags, DWORD *pOutBuffer)
{
BOOL bResult;
OutputDebugString("Detoured WinStationGetCurrentSessionCapabilities\r\n");
bResult = TrueGetCurStationCapabilities(flags,pOutBuffer);
if (bResult)
*pOutBuffer = 0;
return bResult;
}
BOOL WINAPI DllMain (haDLL, dwReason, lpReserved)
HANDLE haDLL;
DWORD dwReason;
LPVOID lpReserved;
{
LONG error;
TCHAR cBuffer[160];
wsprintf(cBuffer,"DllMain Entry %08x\r\n",dwReason);
OutputDebugString(cBuffer);
if (DetourIsHelperProcess()) {
return TRUE;
}
if (dwReason == DLL_PROCESS_ATTACH) {
OutputDebugString("Starting Detour API Calls \r\n");
hStaDLL = LoadLibrary("WINSTA.DLL");
TrueGetCurStationCapabilities = GetProcAddress(hStaDLL,"WinStationGetCurrentSessionCapabilities");
DetourRestoreAfterWith();
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourAttach((PVOID*)&TrueProcessIdToSessionId, ProcessIdToSessionIdLocal);
DetourAttach((PVOID*)&TrueGetCurStationCapabilities, WinStationGetCurrentSessionCapabilitiesLocal);
error = DetourTransactionCommit();
if (error == NO_ERROR) {
OutputDebugString("Successfully Detoured API Calls \r\n");
}
else {
return FALSE;
}
}
else if (dwReason == DLL_PROCESS_DETACH) {
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourDetach((PVOID*)&TrueProcessIdToSessionId, ProcessIdToSessionIdLocal);
DetourDetach((PVOID*)&TrueGetCurStationCapabilities, WinStationGetCurrentSessionCapabilitiesLocal);
error = DetourTransactionCommit();
FreeLibrary(hStaDLL);
}
return TRUE;
}
将 DLL 注入 signtool 也很容易:只需向 IMPORTs 部分添加一个新条目,该条目将加载具有迂回功能的 DLL。这可以使用名为“Lord PE”的工具(用于 32 位可执行文件)来完成。