メインコンテンツへスキップ

コードサイニング証明書について

コメント

11件のコメント

  • tanda

    sudoさん、

    > この度、ハードウェアトークンとなってしまい、pfxを生成することができなくなってしまいました。

    この情報は間違いないでしょうか?

     

  • tanda

    sudoさん、

    ひょっとして、両方に対応したということなのではないでしょうか?

  • sudo

    tandaさん

    こんにちは

    ご返答ありがとうございます。

    返信が遅くなり申し訳ありません。

     

    具体的には、pfxファイルを作成するには、秘密鍵と証明書が必要です。

    今回、秘密鍵がハードウェアトークンになってしまいました。

    デジサート社に問い合わせたところ、「 PKCS#12ファイルの生成ができなくなりました。」とご回答いただきました。

    コマンドラインであれば、署名ができるのですが…。

    リッチクライアントビルダでは、pfxファイルでマニフェストファイルを署名する仕組みですね。

    とりあえず仮のpfxファイルでビルダしたのち、マニフェストファイルをコマンドラインで署名すれば可能かなぁ。なんてことを昨晩考えておりました。できるかどうかは分かりませんが。

     

    何社かは調べたのですが、今年ベースラインでハードウェアトークンが必須?推奨?となっており、ほとんどがハードウェアトークンのようです。その何社かでハードウェアトークンから秘密鍵の作成ができるかどうかまでは調べておりません。

    インシデント契約はしていないので、皆様はどのように運用されているのか確認したいと思い、投稿させていただきました。

     

    よろしくお願いいたします。

  • sudo

    他社の案内にありましたのを投稿いたします。

     

    証明書の仕様を策定するCA/ブラウザフォーラムは、コード証明書に関する規定を更新いたしました。

    統一基準により秘密鍵の複製が禁止されているためPFX形式でエクスポートできません。
    署名を行う際は、PCにトークンを挿した状態での作業をお願いいたします。

     

    とのことです。

  • tanda

    sudoさん、

    > とりあえず仮のpfxファイルでビルダしたのち、マニフェストファイルをコマンドラインで署名すれば
    > 可能かなぁ。なんてことを昨晩考えておりました。できるかどうかは分かりませんが。

    iOSのプロビジョニングプロファイルはその方法で通りますので、pfxもその方法でいけるかもしれません。
    試してみる価値はありそうですね。

    いずれにしても、ちゃんとした将来的な対策は必要になりそうですね。

  • tanda

    補足ですが、iOSのプロビジョニングプロファイルも、最近は自動署名が主流になってきましたので、ウィザードの中で同梱するという手法は、今後、改訂していく必要がありそうです。

  • sudo

    tandaさん

    ご回答ありがとうございます。

    なんとかウイザードで対応して欲しいですね。

     

    ios、androidとも全く用途が無かったので、モバイルアプリケーション開発ガイド等、よく見ておりませんでした。参考にしてやってみようと思います。ご指針いただきありがとうございました。

    新しい認証機関を探すのは一度保留にして、コマンドラインでの認証を試してみようと思います。

  • tanda

    sudoさん、

    その方法でうまくいくといいですね。

  • sudo

    先ほどデータセンターへ赴き、無事完了いたしました。

     

    mage.exeを使用するのですが、コマンドラインは面倒なので、

    mageui.exeを使用しました。

    念のため、VS2022デベロッパーコマンドプロンプトから起動させました。

    mageuiはWindowssdkです。

     

    1.*.crtをサーバにインストールします。

    2.リッチクライアントビルダで前のpfxを使用して一旦ビルドします。

    3.ハードウェアトークンのツールを起動します。

    4.mageui.exeを起動し、*.applicationを開きます。

    5.上書き保存します。

    6.1番でインストールしたものが選択できます。

    7.ブローカー起動します。

     

    ということで、署名が完了しました。作業は簡単でした。

     

    リモートデスクトップ接続ではハードウェアトークンを認識できませんでしたので、毎回データセンターに行くはめになりそうです。

    ウィザードが出来たとしても、実機にUSBをさしてサーバを操作しないとダメのようですね。

    以上です。

    tandaさんありがとうございました。

  • tanda

    sudoさん、

    うまくいってよかったですね。

    ちなみに、「実機にUSBをさしてサーバを操作」というのはどうしてですか?

    ウィザードが終了すると、インストーラへのパスが生成されますので、そのURLを実機から実行するだけで済むと思いますよ。

  • sudo

    tandaさん

    こんにちは

     

    確かに仰る通りですね。

    今回、*.applicationと*.manifestを署名したかったのでサーバで検証しました。

    結果、*.manifestまで署名したら起動しませんでした。

    自PCで*.applicationを署名できたら楽ですね。

    教えていただきありがとうございました。

サインインしてコメントを残してください。