コードサイニング証明書について
いつもお世話になっております。
リッチクライアントビルダで、証明書を指定するところがあります。
その証明書はPKSC#12となっており、pfxファイルを用います。
当方はデジサートという認証機関を使用しており、この度、ハードウェアトークンとなってしまい、pfxを生成することができなくなってしまいました。
皆様はどのようにされておりますか?
お勧めの認証機関等がございましたら、恐れ入りますがお教えください。
よろしくお願いいたします。
-
sudoさん、
> この度、ハードウェアトークンとなってしまい、pfxを生成することができなくなってしまいました。
この情報は間違いないでしょうか?
-
sudoさん、
ひょっとして、両方に対応したということなのではないでしょうか?
-
tandaさん
こんにちは
ご返答ありがとうございます。
返信が遅くなり申し訳ありません。
具体的には、pfxファイルを作成するには、秘密鍵と証明書が必要です。
今回、秘密鍵がハードウェアトークンになってしまいました。
デジサート社に問い合わせたところ、「 PKCS#12ファイルの生成ができなくなりました。」とご回答いただきました。
コマンドラインであれば、署名ができるのですが…。
リッチクライアントビルダでは、pfxファイルでマニフェストファイルを署名する仕組みですね。
とりあえず仮のpfxファイルでビルダしたのち、マニフェストファイルをコマンドラインで署名すれば可能かなぁ。なんてことを昨晩考えておりました。できるかどうかは分かりませんが。
何社かは調べたのですが、今年ベースラインでハードウェアトークンが必須?推奨?となっており、ほとんどがハードウェアトークンのようです。その何社かでハードウェアトークンから秘密鍵の作成ができるかどうかまでは調べておりません。
インシデント契約はしていないので、皆様はどのように運用されているのか確認したいと思い、投稿させていただきました。
よろしくお願いいたします。
-
他社の案内にありましたのを投稿いたします。
証明書の仕様を策定するCA/ブラウザフォーラムは、コード証明書に関する規定を更新いたしました。
統一基準により秘密鍵の複製が禁止されているためPFX形式でエクスポートできません。
署名を行う際は、PCにトークンを挿した状態での作業をお願いいたします。とのことです。
-
sudoさん、
> とりあえず仮のpfxファイルでビルダしたのち、マニフェストファイルをコマンドラインで署名すれば
> 可能かなぁ。なんてことを昨晩考えておりました。できるかどうかは分かりませんが。iOSのプロビジョニングプロファイルはその方法で通りますので、pfxもその方法でいけるかもしれません。
試してみる価値はありそうですね。いずれにしても、ちゃんとした将来的な対策は必要になりそうですね。
-
補足ですが、iOSのプロビジョニングプロファイルも、最近は自動署名が主流になってきましたので、ウィザードの中で同梱するという手法は、今後、改訂していく必要がありそうです。
-
tandaさん
ご回答ありがとうございます。
なんとかウイザードで対応して欲しいですね。
ios、androidとも全く用途が無かったので、モバイルアプリケーション開発ガイド等、よく見ておりませんでした。参考にしてやってみようと思います。ご指針いただきありがとうございました。
新しい認証機関を探すのは一度保留にして、コマンドラインでの認証を試してみようと思います。
-
sudoさん、
その方法でうまくいくといいですね。
-
先ほどデータセンターへ赴き、無事完了いたしました。
mage.exeを使用するのですが、コマンドラインは面倒なので、
mageui.exeを使用しました。
念のため、VS2022デベロッパーコマンドプロンプトから起動させました。
mageuiはWindowssdkです。
1.*.crtをサーバにインストールします。
2.リッチクライアントビルダで前のpfxを使用して一旦ビルドします。
3.ハードウェアトークンのツールを起動します。
4.mageui.exeを起動し、*.applicationを開きます。
5.上書き保存します。
6.1番でインストールしたものが選択できます。
7.ブローカー起動します。
ということで、署名が完了しました。作業は簡単でした。
リモートデスクトップ接続ではハードウェアトークンを認識できませんでしたので、毎回データセンターに行くはめになりそうです。
ウィザードが出来たとしても、実機にUSBをさしてサーバを操作しないとダメのようですね。
以上です。
tandaさんありがとうございました。
-
sudoさん、
うまくいってよかったですね。
ちなみに、「実機にUSBをさしてサーバを操作」というのはどうしてですか?
ウィザードが終了すると、インストーラへのパスが生成されますので、そのURLを実機から実行するだけで済むと思いますよ。
-
tandaさん
こんにちは
確かに仰る通りですね。
今回、*.applicationと*.manifestを署名したかったのでサーバで検証しました。
結果、*.manifestまで署名したら起動しませんでした。
自PCで*.applicationを署名できたら楽ですね。
教えていただきありがとうございました。
サインインしてコメントを残してください。
コメント
11件のコメント