Automatisieren Extended Validation (EV) code signing

Wir haben vor kurzem gekauft ein DigiCert EV code signing-Zertifikat. Wir sind in der Lage, zu Unterschreiben .exe-Dateien mit signtool.exe. Jedoch, jedes mal, wenn wir eine Datei signieren, fordert er für die SafeNet-eToken-Passwort.

Wie können wir diesen Prozess automatisieren, ohne eingreifen des Benutzers, durch die Speicherung/Zwischenspeicherung der Passwort irgendwo?

InformationsquelleAutor decasteljau | 2013-07-29
  1. 52

    Gibt es keine Möglichkeit zur Umgehung der login-dialog AFAIK, aber das, was Sie tun können, ist, konfigurieren Sie das SafeNet Authentication Client, so dass es nur von ihm verlangt, einmal pro login-Sitzung.

    Ich zitiere die SAC-doc (gefunden einmal installiert \ProgramFiles\SafeNet\Authentication\SAC\SACHelp.chm Kapitel 'Client Settings', 'Enabling Client Logon') hier:

    Wenn einzelne Anmeldung aktiviert ist, können Benutzer den Zugriff auf mehrere Anwendungen
    mit nur einer Anfrage für den Token-Kennwort bei jedem computer
    Sitzung. Dies verringert die Notwendigkeit für den Benutzer zu protokollieren, die auf jedes
    Anwendung separat.

    Um diese Funktion zu aktivieren, welche standardmäßig deaktiviert ist, gehen Sie zu SAC erweiterte Einstellungen, und überprüfen Sie die "enable single-Anmeldung" - box:

    Automatisieren Extended Validation (EV) code signing

    Ihren computer neu starten, und es sollte jetzt nur Eingabeaufforderung für das token-Passwort ein. In unserem Fall haben wir mehr als 200 Binärdateien Zeichen pro jeder bauen, so ist dies eine totale muss.

    Ansonsten, hier ist ein kleines C# - Konsole-Beispiel-code (entspricht m1st0), dass ermöglicht es Ihnen, reagieren Sie automatisch zur Anmelde-Dialog (benötigt wahrscheinlich als admin ausführen):

        static void SatisfyEverySafeNetTokenPasswordRequest(string password)
    {
        int count = 0;
        Automation.AddAutomationEventHandler(WindowPattern.WindowOpenedEvent, AutomationElement.RootElement, TreeScope.Children, (sender, e) =>
        {
            var element = sender as AutomationElement;
            if (element.Current.Name == "Token Logon")
            {
                WindowPattern pattern = (WindowPattern)element.GetCurrentPattern(WindowPattern.Pattern);
                pattern.WaitForInputIdle(10000);
                var edit = element.FindFirst(TreeScope.Descendants, new AndCondition(
                    new PropertyCondition(AutomationElement.ControlTypeProperty, ControlType.Edit),
                    new PropertyCondition(AutomationElement.NameProperty, "Token Password:")));

                var ok = element.FindFirst(TreeScope.Descendants, new AndCondition(
                    new PropertyCondition(AutomationElement.ControlTypeProperty, ControlType.Button),
                    new PropertyCondition(AutomationElement.NameProperty, "OK")));

                if (edit != null && ok != null)
                {
                    count++;
                    ValuePattern vp = (ValuePattern)edit.GetCurrentPattern(ValuePattern.Pattern);
                    vp.SetValue(password);
                    Console.WriteLine("SafeNet window (count: " + count + " window(s)) detected. Setting password...");

                    InvokePattern ip = (InvokePattern)ok.GetCurrentPattern(InvokePattern.Pattern);
                    ip.Invoke();
                }
                else
                {
                    Console.WriteLine("SafeNet window detected but not with edit and button...");
                }
            }
        });

        do
        {
            //press Q to quit...
            ConsoleKeyInfo k = Console.ReadKey(true);
            if (k.Key == ConsoleKey.Q)
                break;
        }
        while (true);
        Automation.RemoveAllEventHandlers();
    }
    • Dies kann nicht sein, eine offizielle Antwort von DigiCert, aber Ihre Antwort nervt, und dieses ist genial! Vielen Dank für die Hilfe!
    • +1 für eine richtige Antwort. Es erstaunt mich, zu sehen, Menschen, Entwicklung von Skripten zur Automatisierung von Benutzereingaben und solche, Sieg über den Zweck der mit einem Passwort wirklich, und alles, was Sie wissen musste, war, wo diese option war. Ich bezweifle, dass diese option jemals verschwinden, wie die Emittenten zu verstehen, die Entwickler können nicht geben Sie das Kennwort jedes mal, wenn eine binäre ist unterzeichnet.
    • Ich kann bestätigen, dass diese Werke von TeamCity (solange der TeamCity-Windows-Dienst über die "Allow service to interact with desktop" - box angehakt). Wir auch gebraucht, um die Kennwort-Eingabe-Prozess in einem anderen thread und deaktivieren Sie die "Interactive Services Detection" - service auf unserer build-Maschine. Wir erstellten einen C# - wrapper um signtool durchgeführt hat, die Unterzeichnung und bearbeitet die Passwort-Eingabe wie oben, alle in eine eigenständige app. Ich kann nicht glauben, wie viele Hürden mussten wir überqueren, damit es funktioniert, aber für jemand anderes im gleichen Boot, konzentrieren sich auf die C# - Methode wie oben beschrieben...
    • Können Sie mehr spezifische, wie und warum Sie gebraucht, um es in einem separaten thread? Ich es geschafft, die wrapper-Programm und wenn ich es lokal funktioniert es wunderbar. Allerdings, wenn ich es in der nant-Skript, das ausgeführt wird, durch TeamCity, bekomme ich ein "SignTool-Fehler: Keine Zertifikate gefunden wurden, erfüllt alle angegebenen Kriterien" Fehler. Habt Ihr auch dieses?
    • Um ehrlich zu sein, ich bin mir nicht sicher, warum wir am Ende mit einem separaten thread, aber ich erinnere mich in der situation, wo er arbeitete, die lokal, aber nicht, wenn Sie angerufen werden von TeamCity. Wenn ich mich Recht erinnere, es hing beim aufrufen des pattern. Bezüglich deiner anderen Punkt haben wir dann auch noch, dass Fehler, wo das Zertifikat wurde nicht gefunden beim Aufruf von TeamCity. Das problem war, dass es zwei Zertifikat-stores in Windows, eine für den aktuellen Benutzer und einer für die lokale Maschine. Ich denke, da TeamCity verwendet ein integriertes "System" Benutzer-Konto erfordert es die lokalen Computer Zertifikatspeicher...
    • Ich denke, es war nur ein Fall kopieren Sie das Zertifikat von der aktuellen Benutzer-Speicher in den lokalen Speicher in der MMC. Sorry, wenn dies ist ein wenig vage, aber es hat schon einige Zeit. Ich hoffe, es gibt Sie nicht umsonst.
    • Ich danke Ihnen sehr. Ich Schätze Sie die Zeit nehmen, zu Antworten. Ich beginne die Untersuchung sofort.
    • FYI...die Symantec EV Certs verwenden SafeNet als gut. Wir hatten gebaut, eine kitschige Lösung, um dieses Verfahren, aber nach der Lektüre Ihre Antwort, und die Umsetzung der console-app, dies hat dazu beigetragen, die unseren build-Prozess ungemein. Danke. Große Lösung, um eine schlecht konstruierte code-signing-Prozess.
    • Ich habe versucht, die c# - Lösung zu arbeiten, mit teamcity mit kein Glück. Ich bekomme nur Fehler Informationen: "Fehler: SignerSign() fehlgeschlagen." (-2147023673/0x800704c7) das ist gleichbedeutend mit einem Klick auf "Abbrechen", wenn das Zeichen im Fenster erscheint. Es funktioniert nur gut, wenn es läuft lokal aber sobald ich versuche es mit teamcity oder per remote-pssession "oder" psexec dann funktioniert es nicht. Irgendwelche Gedanken?

    InformationsquelleAutor Simon Mourier
  2. 13

    Erweiterung auf diese Antwort, diese kann automatisiert werden mit CryptAcquireContext und CryptSetProvParam die PIN des token eingeben programmgesteuert und CryptUIWizDigitalSign zum ausführen der Unterzeichnung programmgesteuert. Ich erstellte eine Konsole app (code unten), verwendet als Eingabe das Zertifikat Datei (exportieren durch Rechtsklick auf das Zertifikat in SafeNet Authentication Client und wählen Sie "Export..."), den Namen des privaten schlüsselcontainers (gefunden in SafeNet Authentication Client), den token-PIN, Zeitstempel, URL und den Pfad der Datei zu signieren. Diese Konsole app funktionierte beim Aufruf durch den TeamCity build agent, wo der USB-token angeschlossen war.

    Beispiel:

    etokensign.exe c:\CodeSigning.cert CONTAINER PIN http://timestamp.digicert.com C:\program.exe

    Code:

    #include <windows.h>
#include <cryptuiapi.h>
#include <iostream>
#include <string>

const std::wstring ETOKEN_BASE_CRYPT_PROV_NAME = L"eToken Base Cryptographic Provider";

std::string utf16_to_utf8(const std::wstring& str)
{
    if (str.empty())
    {
        return "";
    }

    auto utf8len = ::WideCharToMultiByte(CP_UTF8, 0, str.data(), str.size(), NULL, 0, NULL, NULL);
    if (utf8len == 0)
    {
        return "";
    }

    std::string utf8Str;
    utf8Str.resize(utf8len);
    ::WideCharToMultiByte(CP_UTF8, 0, str.data(), str.size(), &utf8Str[0], utf8Str.size(), NULL, NULL);

    return utf8Str;
}

struct CryptProvHandle
{
    HCRYPTPROV Handle = NULL;
    CryptProvHandle(HCRYPTPROV handle = NULL) : Handle(handle) {}
    ~CryptProvHandle() { if (Handle) ::CryptReleaseContext(Handle, 0); }
};

HCRYPTPROV token_logon(const std::wstring& containerName, const std::string& tokenPin)
{
    CryptProvHandle cryptProv;
    if (!::CryptAcquireContext(&cryptProv.Handle, containerName.c_str(), ETOKEN_BASE_CRYPT_PROV_NAME.c_str(), PROV_RSA_FULL, CRYPT_SILENT))
    {
        std::wcerr << L"CryptAcquireContext failed, error " << std::hex << std::showbase << ::GetLastError() << L"\n";
        return NULL;
    }

    if (!::CryptSetProvParam(cryptProv.Handle, PP_SIGNATURE_PIN, reinterpret_cast<const BYTE*>(tokenPin.c_str()), 0))
    {
        std::wcerr << L"CryptSetProvParam failed, error " << std::hex << std::showbase << ::GetLastError() << L"\n";
        return NULL;
    }

    auto result = cryptProv.Handle;
    cryptProv.Handle = NULL;
    return result;
}

int wmain(int argc, wchar_t** argv)
{
    if (argc < 6)
    {
        std::wcerr << L"usage: etokensign.exe <certificate file path> <private key container name> <token PIN> <timestamp URL> <path to file to sign>\n";
        return 1;
    }

    const std::wstring certFile = argv[1];
    const std::wstring containerName = argv[2];
    const std::wstring tokenPin = argv[3];
    const std::wstring timestampUrl = argv[4];
    const std::wstring fileToSign = argv[5];

    CryptProvHandle cryptProv = token_logon(containerName, utf16_to_utf8(tokenPin));
    if (!cryptProv.Handle)
    {
        return 1;
    }

    CRYPTUI_WIZ_DIGITAL_SIGN_EXTENDED_INFO extInfo = {};
    extInfo.dwSize = sizeof(extInfo);
    extInfo.pszHashAlg = szOID_NIST_sha256; //Use SHA256 instead of default SHA1

    CRYPT_KEY_PROV_INFO keyProvInfo = {};
    keyProvInfo.pwszContainerName = const_cast<wchar_t*>(containerName.c_str());
    keyProvInfo.pwszProvName = const_cast<wchar_t*>(ETOKEN_BASE_CRYPT_PROV_NAME.c_str());
    keyProvInfo.dwProvType = PROV_RSA_FULL;

    CRYPTUI_WIZ_DIGITAL_SIGN_CERT_PVK_INFO pvkInfo = {};
    pvkInfo.dwSize = sizeof(pvkInfo);
    pvkInfo.pwszSigningCertFileName = const_cast<wchar_t*>(certFile.c_str());
    pvkInfo.dwPvkChoice = CRYPTUI_WIZ_DIGITAL_SIGN_PVK_PROV;
    pvkInfo.pPvkProvInfo = &keyProvInfo;

    CRYPTUI_WIZ_DIGITAL_SIGN_INFO signInfo = {};
    signInfo.dwSize = sizeof(signInfo);
    signInfo.dwSubjectChoice = CRYPTUI_WIZ_DIGITAL_SIGN_SUBJECT_FILE;
    signInfo.pwszFileName = fileToSign.c_str();
    signInfo.dwSigningCertChoice = CRYPTUI_WIZ_DIGITAL_SIGN_PVK;
    signInfo.pSigningCertPvkInfo = &pvkInfo;
    signInfo.pwszTimestampURL = timestampUrl.c_str();
    signInfo.pSignExtInfo = &extInfo;

    if (!::CryptUIWizDigitalSign(CRYPTUI_WIZ_NO_UI, NULL, NULL, &signInfo, NULL))
    {
        std::wcerr << L"CryptUIWizDigitalSign failed, error " << std::hex << std::showbase << ::GetLastError() << L"\n";
        return 1;
    }

    std::wcout << L"Successfully signed " << fileToSign << L"\n";
    return 0;
}

    Exportieren Sie das Zertifikat in eine Datei:

    Automatisieren Extended Validation (EV) code signing

    Privaten Schlüssel, Container Mit Dem Namen:

    Automatisieren Extended Validation (EV) code signing

    • Dieser sollte dann die akzeptierte Antwort, es funktioniert wie ein Charme!
    • Das ist perfekt. Insbesondere, nachdem ich erkannte, dass ich brauche nur zu Unterschreiben, einige dummy-Datei mit diesem tool. Wenn der "single logon" aktiviert ist (SafeNet Fahrer), alle nachfolgenden Schritte arbeiten mit dem standard-signtool. Dies ist sehr nützlich für das signieren von Office-Addins (VSTO), die mit einem anderen Werkzeug, und es bedeutete auch, dass nur minimale änderungen erforderlich waren mein build-Skript / Prozess.
    • Diese Antwort ist eine gute Ergänzung zu dem von avzhatkin. An dieser Stelle wird der code in der Nähe einbauen signtools.exe. Dieses Programm brauchen würde, zur Förderung der gegenseitigen Unterzeichnung. Zum Glück gibt es noch anderen SO schreiben Sie mit jetzt ausführen cross-signing.
    • Diese Antwort landete hilft mir am meisten. Ich verpasste eine externe Referenz, wenn Gebäude in VS2017, aber wenn Sie, einige pragma Kommentare wie vorgeschlagen, hier ich es geschafft, Bambus (CI/CD von Atlassian), um sich anzumelden.
    InformationsquelleAutor draketb
  3. 11

    Erweiterung auf die Antworten bereits in diesem thread, ist es möglich, das token-Passwort mit dem standard-Programm signtool von microsoft.

    1. Exportieren Ihr öffentliches Zertifikat in eine Datei, aus der SafeNet Client
    Automatisieren Extended Validation (EV) code signing

    2. Finden Sie Ihren privaten Schlüssel, container mit dem Namen

    Automatisieren Extended Validation (EV) code signing

    3. Finden Sie Ihren reader name
    Automatisieren Extended Validation (EV) code signing

    4. Formatieren Sie alle zusammen

    Die CSP eToken versteckt hat (oder zumindest nicht stark beworbenen) Funktionen zum analysieren der token-Passwort der name des Containers.

    Format ist eines der folgenden

    []=name
[reader]=name
[{{password}}]=name
[reader{{password}}]=name

    Wo:

    • reader ist die "Leser-Namen" aus den SafeNet-Client-UI -
    • password ist Ihr token-Passwort
    • name ist die "Container-name" aus den SafeNet-Client-UI -

    Vermutlich müssen Sie die reader-Namen, wenn Sie mehr als ein Kartenleser angeschlossen - da ich nur einen reader kann ich nicht bestätigen.

    5. Übergeben Sie die Informationen zu signtool

    • /f certfile.cer
    • /csp "eToken Base Cryptographic Provider"
    • /k "<value from step 4>"
    • andere signtool-flags, die Sie benötigen

    Beispiel signtool-Befehl wie folgt

    signtool sign /f mycert.cer /csp "eToken Base Cryptographic Provider" /k "[{{TokenPasswordHere}}]=KeyContainerNameHere" myfile.exe

    Einige Bilder aus dieser Antwort: https://stackoverflow.com/a/47894907/5420193

    • Funktioniert Super, leider fand ich diese nach zwei Tagen zu Graben und die Umsetzung eigener "signtool" 😀 thx
    InformationsquelleAutor Austin Morton
  4. 9

    Bin ich beta-tool, das Ihnen helfen wird, automatisieren von build-Prozess.

    Es ist Client-Server-Anwendung windows-Anwendung. Sie können starten Sie den server auf dem computer, auf dem EV-token eingefügt. Geben Sie das Kennwort für token auf server-Seite Anwendung starten. Danach können Sie signieren von Dateien aus der Ferne.
    Client-seitige Anwendung vollständig ersetzt signtool.exe so können Sie vorhandene Skripts erstellen.

    Source code befindet sich hier: https://github.com/SirAlex/RemoteSignTool

    Edit: Wir haben erfolgreich dieses tool zum signieren von code im letzten halben Jahr, 24x7, auf unserem server zu Bauen. Alles Prima funktioniert.

    • Wie sicher ist diese Methode? Muss es nicht bedeuten, dass jeder, der eine Verbindung herstellen können Ihr signing server mit HTTP können melden Sie binäre Sie wollen, mit Ihrem EV-Zertifikat?
    InformationsquelleAutor Aleksey Kharlanov
  5. 6

    Eigentlich unter Windows können Sie die token-Kennwort vollständig programmgesteuert. Diese kann getan werden, indem wir einen Kontext (CryptAcquireContext) mit Flagge CRYPT_SILENT mit token-Namen in der form "\\.\AKS ifdh 0" oder token-container-Namen, die guid sichtbar im Zertifikat Eigenschaften in der Authentifizierungs-Client-Anwendung. Sie müssen dann die Verwendung CryptSetProvParam mit parameter PP_SIGNATURE_PIN so geben Sie Ihr token-Passwort. Nach der Verarbeitung zu verwenden Zertifikate, token, um Dateien zu Unterschreiben.
    Hinweis: nach dem erstellen der Kontext scheint zu arbeiten, nur für den aktuellen Prozess vollständig, keine Notwendigkeit, es weiterzugeben an andere Crypto-API-Funktionen oder nichts. Aber fühlen Sie sich frei zu kommentieren, wenn Sie finden, eine situation, wenn einige weitere Anstrengungen erforderlich.
    Edit: Hinzugefügt: code-Beispiel

    HCRYPTPROV OpenToken(const std::wstring& TokenName, const std::string& TokenPin)
{
    const wchar_t DefProviderName[] = L"eToken Base Cryptographic Provider";

    HCRYPTPROV hProv = NULL;
    //Token naming can be found in "eToken Software Developer's Guide"
    //Basically you can either use "\\.\AKS ifdh 0" form
    //Or use token's default container name, which looks like "ab-c0473610-8e6f-4a6a-ae2c-af944d09e01c"
    if(!CryptAcquireContextW(&hProv, TokenName.c_str(), DefProviderName, PROV_RSA_FULL, CRYPT_SILENT))
    {
        DWORD Error = GetLastError();
        //TracePrint("CryptAcquireContext for token %ws failed, error 0x%08X\n", TokenName.c_str(), Error);
        return NULL;
    }
    if(!CryptSetProvParam(hProv, PP_SIGNATURE_PIN, (BYTE*)TokenPin.c_str(), 0))
    {
        DWORD Error = GetLastError();
        //TracePrint("Token %ws unlock failed, error 0x%08X\n", TokenName.c_str(), Error);
        CryptReleaseContext(hProv, 0);
        return NULL;
    }
    else
    {
        //TracePrint("Unlocked token %ws\n", TokenName.c_str());
        return hProv;
    }
}
    • Interessant. Scheint vielversprechend, sollte man IMHO darauf eingehen (verbessern Erläuterung, code, etc.)
    • Poste bitte ein komplettes Beispiel. Das klingt wirklich nützlich
    • vielen Dank für die zusätzlichen details. ist das die Anleitung, die Sie erwähnen ?read.pudn.com/downloads128/ebook/549477/eToken_SDK_3_50[1].pdf
    • Ich glaube, es ist nicht die genaue version, die ich hatte, aber es scheint, um ähnliche Daten enthalten, über die Erstellung von Kontext und bietet dem PIN, obwohl für verschiedene Einsatz-Szenario.
    • Ich Schätze, dass Sie diese Funktion aufrufen, OpenToken(L"\\\\.\\AKS ifdh 0",<token-Passwort - >)... gut es funktionierte für mich!
    • Gute Lösung, ich habe mit diesem nun seit über einem Jahr. Ich habe eine PS-Funktion ruft zunächst eine nicht verwaltete exe-Datei mit diesem code zum entsperren des token. Dann aus der PS-Datei, ich nenne SignTool.exe. Ich habe versucht mehrere Methoden, um die drop unmanaged exe wie mit einem verwalteten exe-Datei, die Einbettung der C# - Quellcode in die PS-Datei und das schreiben eines cmdlet, das das token entsperrt und dann namens SignTool von C#. Keiner dieser Ansätze funktioniert. Das token-container war immer unverschlossen in einem anderen Prozesskontext.

    InformationsquelleAutor avzhatkin
  6. 5

    Ich verwendet AutoHotKey zur Automatisierung der Passwort-Eingabe mit dem Skript folgt. Wir haben versucht, um eine Web-basierte front-end für unsere Entwickler zu senden, die Binärdateien auf dem Windows-Rechner mit diesem script ausgeführt werden, so dass es signiert werden kann und zurückgegeben.

      Loop
  {   
    Sleep 2000

    if (WinExist("Token Logon"))
    {   
      WinActivate ; use the window found above
      SendInput [your_password]
      SendInput {Enter}
    }   
    if (WinExist("DigiCert Certificate Utility for Windows©"))
    {   
      WinActivate ; use the window found above
      SendInput [your_password]
      SendInput {Enter}
    }   
  }

    Muss ich anmerken, dass das, was ich gab, ist nicht ganz nicht sicher, aber wir sind auch der hit dieses Problem die entweder Kauf-signing-Schlüssel für jeden Entwickler oder die Zuweisung einer Aufgabe, einer Signatur-manager das wäre zu genehmigen, die Signatur der veröffentlichte software. Ich glaube, diese sind die bessere und sichere Prozesse--, dass, sobald die Dinge passieren, die Qualitätssicherung und sind zur Veröffentlichung freigegeben worden sind, können Sie offiziell unterzeichnet. Jedoch, kleinere Unternehmen benötigt, können vorschreiben, dass das in einigen anderen automatisierten Weg.

    Ich ursprünglich verwendet osslsigncode auf Linux (vor der EV-Zertifikate) zu automatisieren signieren von ausführbaren Windows-Dateien (da hatten wir einen Linux-server zu tun eine Menge Arbeit für die Entwickler zu erleichtern und die Zusammenarbeit). Ich kontaktierte die Entwickler von osslsigncode um zu sehen, ob er Gebrauch machen können, die DigiCert-SafeNet Token zu automatisieren, bei der es etwas anders, da kann ich sehen, wie Sie auf Linux. Seine Antwort vorausgesetzt, hoffe aber ich bin nicht sicher Fortschritte und ich konnte nicht widmen mehr Zeit, um zu helfen

    • Siehe die andere Antwort. Es gibt eine option zum freischalten nur einmal pro Sitzung, was ausreichend für die meisten Benutzer.
    InformationsquelleAutor m1st0
  7. 3

    Bekam eine Antwort von Digicert:

    Leider Teil der Sicherheit mit dem EV Code Signing-Zertifikat ist, dass müssen Sie das Passwort eingeben, jedesmal.
    Es ist nicht ein Weg, um zu automatisieren.

    • Bekamen wir die gleiche Antwort, obwohl Sie nach einer Lösung Sie haben keinen Zeitplan, Wann man verfügbar sein könnten. Sie sind sich bewusst, das SO ein post aber so hoffentlich werden Sie erkennen, wie viel von einem Problem ist.
    InformationsquelleAutor decasteljau
  8. 2

    Ich meinem Fall Digicert Problem ein Standard (OV) Zertifikat für die CI, für Sie kostenlos, wenn Sie bereits ein EV-Zertifikat.

    Ich weiß, das ist nicht die Lösung, aber wenn Sie nicht setzen Sie das token in den server (cloud-server) dies ist der Weg zu gehen.

    InformationsquelleAutor Ricardo Polo
  9. 2

    Python-Variante des Tools:

    import pywintypes
import win32con
import win32gui
import time



DIALOG_CAPTION = 'Token Logon'
DIALOG_CLASS = '#32770'
PASSWORD_EDIT_ID = 0x3ea
TOKEN_PASSWORD_FILE = 'password.txt'
SLEEP_TIME = 10


def get_token_password():
    password = getattr(get_token_password, '_password', None)
    if password is None:
        with open(TOKEN_PASSWORD_FILE, 'r') as f:
            password = get_token_password._password = f.read()

    return password

def enumHandler(hwnd, lParam):
    if win32gui.IsWindowVisible(hwnd):
        if win32gui.GetWindowText(hwnd) == DIALOG_CAPTION and win32gui.GetClassName(hwnd) == DIALOG_CLASS:
            print('Token logon dialog has been detected, trying to enter password...')
            try:
                ed_hwnd = win32gui.GetDlgItem(hwnd, PASSWORD_EDIT_ID)
                win32gui.SendMessage(ed_hwnd, win32con.WM_SETTEXT, None, get_token_password())
                win32gui.PostMessage(ed_hwnd, win32con.WM_KEYDOWN, win32con.VK_RETURN, 0)
                print('Success.')
            except Exception as e:
                print('Fail: {}'.format(str(e)))
                return False

    return True


def main():
    while True:
        try:
            win32gui.EnumWindows(enumHandler, None)
            time.sleep(SLEEP_TIME)
        except pywintypes.error as e:
            if e.winerror != 0:
                raise e


if __name__ == '__main__':
    print('Token unlocker has been started...')
    print('DO NOT CLOSE THE WINDOW!')
    main()

    Außerdem habe ich festgestellt, dass oVirt-Konsole ist Standard-Verhalten senden sperren zu Windows.
    Sie müssen deaktivieren Sie es in den server-Optionen und setup-autologin.

    InformationsquelleAutor A.N.
  10. 0

    Den Weg, den ich tun es ist :

    1. Öffnen Sie das token

      PCCERT_CONTEXT cert = OpenToken(SAFENET_TOKEN, EV_PASS);

    2. Zeichen der Datei, über die token -, Wurzel - /cross-Zertifikate werden, wenn erforderlich und das EV-Zertifikat in den Speicher geladen.

      HRESULT hr = SignAppxPackage(cert, FILETOSIGN);

    Mit SignerSignEx2():

    Die Datei ist signiert mit SignerSignEx2() muss in den Arbeitsspeicher geladen werden über LoadLibrary() und GetProcAddress():

    //Type definition for invoking SignerSignEx2 via GetProcAddress
typedef HRESULT(WINAPI *SignerSignEx2Function)(
    DWORD,
    PSIGNER_SUBJECT_INFO,
    PSIGNER_CERT,
    PSIGNER_SIGNATURE_INFO,
    PSIGNER_PROVIDER_INFO,
    DWORD,
    PCSTR,
    PCWSTR,
    PCRYPT_ATTRIBUTES,
    PVOID,
    PSIGNER_CONTEXT *,
    PVOID,
    PVOID);

//Load the SignerSignEx2 function from MSSign32.dll
HMODULE msSignModule = LoadLibraryEx(
    L"MSSign32.dll",
    NULL,
    LOAD_LIBRARY_SEARCH_SYSTEM32);

if (msSignModule)
{
    SignerSignEx2Function SignerSignEx2 = reinterpret_cast<SignerSignEx2Function>(
        GetProcAddress(msSignModule, "SignerSignEx2"));
    if (SignerSignEx2)
    {
        hr = SignerSignEx2(
            signerParams.dwFlags,
            signerParams.pSubjectInfo,
            signerParams.pSigningCert,
            signerParams.pSignatureInfo,
            signerParams.pProviderInfo,
            signerParams.dwTimestampFlags,
            signerParams.pszAlgorithmOid,
            signerParams.pwszTimestampURL,
            signerParams.pCryptAttrs,
            signerParams.pSipData,
            signerParams.pSignerContext,
            signerParams.pCryptoPolicy,
            signerParams.pReserved);
    }
    else
    {
        DWORD lastError = GetLastError();
        hr = HRESULT_FROM_WIN32(lastError);
    }

    FreeLibrary(msSignModule);
}
else
{
    DWORD lastError = GetLastError();
    hr = HRESULT_FROM_WIN32(lastError);
}

//Free any state used during app package signing
if (sipClientData.pAppxSipState)
{
    sipClientData.pAppxSipState->Release();
}

    Zeitstempel

    Weiter, müssen Sie den Zeitstempel Sie die signierte Datei und, dass die Verwendung eines Zeitstempel-Autorität, zu dem Sie eine Verbindung herstellen.

    Getan wird, wird durch die sichere überprüfung eines Zeitstempel-server über die URL für das aktuelle Datum und die Uhrzeit. Jeder anmeldende Behörde haben Ihre eigenen Zeitstempel-server. Zeitstempel ist ein zusätzlicher Schritt, der in das Code Signing-Prozess, aber wenn es um die EV Code Signing-es ist eine Anforderung, die fügt eine zusätzliche Ebene der Sicherheit, um die signierte PE.
    Aus diesem Grund fügen Sie zu Ihrem code a überprüfen, ob der Benutzer mit dem Internet verbunden ist.

    DWORD dwReturnedFlag;
if (InternetGetConnectedState(&dwReturnedFlag,0) == NULL) //use https://docs.microsoft.com/en-us/windows/desktop/api/netlistmgr/nf-netlistmgr-inetworklistmanager-getconnectivity
{
    wprintf(L"Certificate can't be dated with no Internet connection\n");
    return 1;
}

    Laden Sie ein Zertifikat von einer Datei

    std::tuple<DWORD, DWORD, std::string> GetCertificateFromFile
(const wchar_t*                         FileName
    , std::shared_ptr<const CERT_CONTEXT>*   ResultCert)
{
    std::vector<unsigned char> vecAsn1CertBuffer;
    auto tuple_result = ReadFileToVector(FileName, &vecAsn1CertBuffer);

    if (std::get<0>(tuple_result) != 0)
    {
        return tuple_result;
    }

    return GetCertificateFromMemory(vecAsn1CertBuffer, ResultCert);
}

    Laden eines Zertifikats in den Speicher

    std::tuple<DWORD, DWORD, std::string> GetCertificateFromMemory
(const std::vector<unsigned char>&      CertData
    , std::shared_ptr<const CERT_CONTEXT>*   ResultCert)
{
    const CERT_CONTEXT* crtResultCert = ::CertCreateCertificateContext
    (X509_ASN_ENCODING | PKCS_7_ASN_ENCODING
        , &CertData[0]
        , static_cast<DWORD>(CertData.size()));
    if (crtResultCert == NULL)
    {
        return std::make_tuple(E_FAIL
            , ::GetLastError()
            , "CertCreateCertificateContext");
    }

    *ResultCert = std::shared_ptr<const CERT_CONTEXT>(crtResultCert
        , ::CertFreeCertificateContext);
    return std::make_tuple(0, 0, "");
}

    Nachdem das Zertifikat geladen wurde folgende Zugriff auf die hardware-token wir laden:

    std::vector<unsigned char> dataCertEV(signingCertContext->pbCertEncoded,
        signingCertContext->pbCertEncoded + signingCertContext->cbCertEncoded);

    Schließlich die Unterzeichnung geschieht in der folgenden Funktion:

    HRESULT SignAppxPackage(
    _In_ PCCERT_CONTEXT signingCertContext,
    _In_ LPCWSTR packageFilePath)
{
    HRESULT hr = S_OK;
    if (PathFileExists(CertAuthority_ROOT))
    {
        wprintf(L"Cross Certificate '%s' was found\n", CertAuthority_ROOT);
    }
    else
    {
        wprintf(L"Error: Cross Certificate '%s' was not found\n", CertAuthority_ROOT);
        return 3;
    }
    DWORD dwReturnedFlag;
    if (InternetGetConnectedState(&dwReturnedFlag,0) == NULL) 
    {
        wprintf(L"Certificate can't be dated with no Internet connection\n");
        return 1;
    }
    if (PathFileExists(CertAuthority_RSA))
    {
        wprintf(L"Cross Certificate '%s' was found\n", CertAuthority_RSA);
    }
    else
    {
        wprintf(L"Error: Cross Certificate '%s' was not found\n", CertAuthority_RSA);
        return 2;
    }
    if (PathFileExists(CROSSCERTPATH))
    {
        wprintf(L"Microsoft Cross Certificate '%s' was found\n", CROSSCERTPATH);

    }
    else
    {
        wprintf(L"Error: Microsoft Cross Certificate '%s' was not found\n", CROSSCERTPATH);
        return 3;
    }
    //Initialize the parameters for SignerSignEx2
    DWORD signerIndex = 0;

    SIGNER_FILE_INFO fileInfo = {};
    fileInfo.cbSize = sizeof(SIGNER_FILE_INFO);
    fileInfo.pwszFileName = packageFilePath;

    SIGNER_SUBJECT_INFO subjectInfo = {};
    subjectInfo.cbSize = sizeof(SIGNER_SUBJECT_INFO);
    subjectInfo.pdwIndex = &signerIndex;
    subjectInfo.dwSubjectChoice = SIGNER_SUBJECT_FILE;
    subjectInfo.pSignerFileInfo = &fileInfo;

    SIGNER_CERT_STORE_INFO certStoreInfo = {};
    certStoreInfo.cbSize = sizeof(SIGNER_CERT_STORE_INFO);
    certStoreInfo.dwCertPolicy = SIGNER_CERT_POLICY_STORE;//SIGNER_CERT_POLICY_CHAIN_NO_ROOT;
    certStoreInfo.pSigningCert = signingCertContext;

    //Issuer: 'CertAuthority RSA Certification Authority'
    //Subject 'CertAuthority RSA Extended Validation Code Signing CA'
    auto fileCertAuthorityRsaEVCA = CertAuthority_RSA;
    std::shared_ptr<const CERT_CONTEXT> certCertAuthorityRsaEVCA;
    auto tuple_result = GetCertificateFromFile(fileCertAuthorityRsaEVCA, &certCertAuthorityRsaEVCA);

    if (std::get<0>(tuple_result) != 0)
    {
        std::cout << "Error: " << std::get<0>(tuple_result) << " " << std::get<1>(tuple_result) << " " << std::get<2>(tuple_result) << "\n";
        return std::get<0>(tuple_result);
    }

    std::shared_ptr<const CERT_CONTEXT> certCertEV;
    std::vector<unsigned char> dataCertEV(signingCertContext->pbCertEncoded,
        signingCertContext->pbCertEncoded + signingCertContext->cbCertEncoded);
    tuple_result = GetCertificateFromMemory(dataCertEV, &certCertEV);

    if (std::get<0>(tuple_result) != 0)
    {
        std::cout << "Error: " << std::get<0>(tuple_result) << " " << std::get<1>(tuple_result) << " " << std::get<2>(tuple_result) << "\n";
        return std::get<0>(tuple_result);
    }

    //Issuer:  'Microsoft Code Verification Root'
    //Subject: 'CertAuthority RSA Certification Authority'
    auto fileCertCross = CertAuthority_ROOT;
    std::shared_ptr<const CERT_CONTEXT> certCertCross;
    tuple_result = GetCertificateFromFile(fileCertCross, &certCertCross);

    if (std::get<0>(tuple_result) != 0)
    {
        std::cout << "Error: " << std::get<0>(tuple_result) << " " << std::get<1>(tuple_result) << " " << std::get<2>(tuple_result) << "\n";
        return std::get<0>(tuple_result);
    }

    //certificate 1 Issuer  : '<Certificate Provider> RSA Certification Authority'
    //             Subject : '<Certificate Provider> Extended Validation Code Signing CA'
    //
    //certificate 2 Issuer  : '<Certificate Provider> Extended Validation Code Signing CA'
    //             Subject : '<Your company /entity name>'
    //
    //certificate 3 Issuer  : 'Microsoft Code Verification Root'
    //             Subject : '<Certificate Provider> Certification Authority'

    std::vector<std::shared_ptr<const CERT_CONTEXT> > certs;
    certs.push_back(certCertAuthorityRsaEVCA);
    certs.push_back(certCertEV);
    certs.push_back(certCertCross);

    std::shared_ptr<void> resultStore;
    tuple_result = FormMemoryCertStore(certs, CERT_STORE_ADD_NEW, &resultStore);

    if (std::get<0>(tuple_result) != 0)
    {
        std::cout << "Error: " << std::get<0>(tuple_result) << " " << std::get<1>(tuple_result) << " " << std::get<2>(tuple_result) << "\n";
        return std::get<0>(tuple_result);
    }

    certStoreInfo.hCertStore = resultStore.get();
    //--------------------------------------------------------------------

    SIGNER_CERT cert = {};
    cert.cbSize = sizeof(SIGNER_CERT);
    cert.dwCertChoice = SIGNER_CERT_STORE;
    cert.pCertStoreInfo = &certStoreInfo;

    //The algidHash of the signature to be created must match the
    //hash algorithm used to create the app package
    SIGNER_SIGNATURE_INFO signatureInfo = {};
    signatureInfo.cbSize = sizeof(SIGNER_SIGNATURE_INFO);
    signatureInfo.algidHash = CALG_SHA_256;
    signatureInfo.dwAttrChoice = SIGNER_NO_ATTR;

    SIGNER_SIGN_EX2_PARAMS signerParams = {};
    signerParams.pSubjectInfo = &subjectInfo;
    signerParams.pSigningCert = &cert;
    signerParams.pSignatureInfo = &signatureInfo;
    signerParams.dwTimestampFlags = SIGNER_TIMESTAMP_RFC3161;
    signerParams.pszAlgorithmOid = szOID_NIST_sha256;
    //signerParams.dwTimestampFlags = SIGNER_TIMESTAMP_AUTHENTICODE;
    //signerParams.pszAlgorithmOid = NULL;
    signerParams.pwszTimestampURL = TIMESTAMPURL;

    APPX_SIP_CLIENT_DATA sipClientData = {};
    sipClientData.pSignerParams = &signerParams;
    signerParams.pSipData = &sipClientData;

    //Type definition for invoking SignerSignEx2 via GetProcAddress
    typedef HRESULT(WINAPI *SignerSignEx2Function)(
        DWORD,
        PSIGNER_SUBJECT_INFO,
        PSIGNER_CERT,
        PSIGNER_SIGNATURE_INFO,
        PSIGNER_PROVIDER_INFO,
        DWORD,
        PCSTR,
        PCWSTR,
        PCRYPT_ATTRIBUTES,
        PVOID,
        PSIGNER_CONTEXT *,
        PVOID,
        PVOID);

    //Load the SignerSignEx2 function from MSSign32.dll
    HMODULE msSignModule = LoadLibraryEx(
        L"MSSign32.dll",
        NULL,
        LOAD_LIBRARY_SEARCH_SYSTEM32);

    if (msSignModule)
    {
        SignerSignEx2Function SignerSignEx2 = reinterpret_cast<SignerSignEx2Function>(
            GetProcAddress(msSignModule, "SignerSignEx2"));
        if (SignerSignEx2)
        {
            hr = SignerSignEx2(
                signerParams.dwFlags,
                signerParams.pSubjectInfo,
                signerParams.pSigningCert,
                signerParams.pSignatureInfo,
                signerParams.pProviderInfo,
                signerParams.dwTimestampFlags,
                signerParams.pszAlgorithmOid,
                signerParams.pwszTimestampURL,
                signerParams.pCryptAttrs,
                signerParams.pSipData,
                signerParams.pSignerContext,
                signerParams.pCryptoPolicy,
                signerParams.pReserved);
        }
        else
        {
            DWORD lastError = GetLastError();
            hr = HRESULT_FROM_WIN32(lastError);
        }

        FreeLibrary(msSignModule);
    }
    else
    {
        DWORD lastError = GetLastError();
        hr = HRESULT_FROM_WIN32(lastError);
    }

    //Free any state used during app package signing
    if (sipClientData.pAppxSipState)
    {
        sipClientData.pAppxSipState->Release();
    }

    return hr;
}

    Sehen diesen Artikel schrieb ich.

    InformationsquelleAutor Michael Haephrati
Schreibe einen Kommentar