En esta guía, se proporcionan instrucciones para crear una clave de Cloud HSM para Microsoft Firma de Authenticode a través de PKCS#11 y Jsign.
Casos de uso
El flujo de trabajo que se describe en este documento ayuda a abordar las siguientes necesidades de seguridad de la empresa:
- Firma el firmware con una clave privada protegida por un HSM de nivel 3 del estándar FIPS 140-2.
- Firma artefactos de Windows sin tener que usar signtool.
Antes de comenzar
Para completar este instructivo, necesitas lo siguiente:
- Una máquina Windows con los artefactos que deseas firmar Asegúrate de que Java esté instalado en esta máquina.
Cloud Shell o tu propia máquina Linux para generar una solicitud de firma de certificado o un certificado En esta máquina, Completa la configuración documentada en Configuración de OpenSSL.
Recuerda ejecutar gcloud auth application-default login si aún no lo hiciste.
En tu máquina con Windows, descarga el archivo JAR de la versión de Jsign más reciente. con el siguiente comando de PowerShell:
wget https://github.com/ebourg/jsign/releases/download/JSIGN.VERSION/jsign-JSIGN.VERSION.jar -O jsign.jar
Configuración
Crea una clave de firma alojada en Cloud KMS
Usa Cloud Shell o tu propia máquina para crear un Cloud KMS. el llavero de claves en tu proyecto de Google Cloud con el siguiente comando:
gcloud kms keyrings create "KEY_RING" --location "LOCATION"
Luego, crea una clave de firma de hardware EC-P256-SHA256 de Cloud KMS en tu
Proyecto de Google Cloud, en el llavero de claves que acabas de crear:
gcloud kms keys create "KEY_NAME" --keyring "KEY_RING" \
--project "PROJECT_ID" --location "LOCATION" \
--purpose "asymmetric-signing" --default-algorithm "ec-sign-p256-sha256" \
--protection-level "hsm"
Descarga la certificación de HSM
Una certificación de HSM es la prueba de que tu clave reside en un HSM. Esta prueba podría ser exigidos por tu autoridad certificadora (AC) para emitir una validación extendida (VE) certificado.
Para descargar la certificación de HSM asociada con tu clave de Cloud KMS, completa los siguientes pasos:
En la consola de Google Cloud, ve a la página Administración de claves.
Selecciona el llavero de claves que contiene la clave que quieres certificar y, luego, selecciona la clave.
Haz clic en Más more_vert. para la versión de clave que quieres certificar y, luego, haz clic en Verificar certificación.
En el diálogo Verificar certificación, haz clic en Descargar el paquete de certificación. Esta acción descarga un archivo ZIP que contiene las cadenas de certificación y de certificados.
Consulta Analiza la certificación para obtener instrucciones completas sobre cómo verificarás la certificación descargada.
Crea un certificado autofirmado con OpenSSL
Este paso es opcional, pero te ayudará a familiarizarte con las pasos antes de realizar el proceso y los gastos de comprar un certificado firmado por una autoridad certificadora.
Con Cloud Shell o tu propia máquina, genera un certificado autofirmado con la clave de firma alojada en Cloud KMS. Puedes usar OpenSSL para utilizar un PKCS #11 URI en lugar de una ruta de acceso al archivo e identifica la clave por su etiqueta. En la PKCS #11 de Cloud KMS, la etiqueta de la clave es equivalente al Nombre de la CryptoKey.
openssl req -new -x509 -days 3650 -subj '/CN=test/' -sha256 -engine pkcs11 \
-keyform engine -key pkcs11:object=KEY_NAME > ca.cert
Si este comando falla, es posible que PKCS11_MODULE_PATH se haya configurado de forma incorrecta o que
es posible que no tengas los permisos adecuados para usar Cloud KMS
clave de firma de Google.
Ahora debería tener un certificado que se vea así:
-----BEGIN CERTIFICATE-----
...
...
...
-----END CERTIFICATE-----
Copia el certificado en tu máquina Windows para poder usarlo con Jsign para firmar los artefactos.
Crea una solicitud de firma de certificado nueva
Puedes generar una solicitud de firma de certificado (CSR) para una clave de firma de Cloud HSM. Completa estos pasos si tu autoridad certificadora requiere una CSR para generar un certificado nuevo para la firma de código.
En Cloud Shell o en tu propia máquina, ejecuta el siguiente comando:
openssl req -new -subj '/CN=CERTIFICATE_NAME/' DIGEST_FLAG \
-engine pkcs11 -keyform engine \
-key pkcs11:id=KEY_ID > REQUEST_NAME.csr
Reemplaza lo siguiente:
CERTIFICATE_NAME: Es un nombre para el certificado que queremos generar.DIGEST_FLAG: Es una marca que indica el tipo de resumen. Usa-sha256,-sha384o-sha512, según el algoritmo de la clave.KEY_ID: Es el ID de recurso completamente calificado de un objeto asimétrico. versión de la clave de firma, por ejemplo,projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/1REQUEST_NAME: Es un nombre para la solicitud de firma de certificado.
Asegúrate de usar las opciones de -sigopt correctas para el tipo de clave que usas.
Ahora que tienes tu CSR, puedes proporcionarla a tu certificado Autoridad (AC) para obtener el certificado de firma. Usa el certificado proporcionado por tu AC en la siguiente sección.
Firma un artefacto con Jsign
Ahora que creaste correctamente un certificado (autofirmado o obtenido de la AC) y lo copiaste a tu máquina Windows, puedes usarlo para firmar un artefacto de Windows.
Para obtener una lista de los formatos de archivo compatibles, ejecuta el comando jsign --help.
Usa Jsign para firmar los artefactos con tu clave de Cloud KMS y tu certificado.
java -jar PATH_TO_JSIGN.JAR --storetype GOOGLECLOUD \
--storepass $(gcloud auth application-default print-access-token) \
--keystore projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING \
--alias KEY_NAME \
--certfile PATH_TO_CA.CERT
PATH_TO_ARTIFACT_TO_SIGN
Reemplaza lo siguiente:
PATH_TO_JSIGN.JAR: Es la ruta de acceso ajsign.jar.PATH_TO_CA.CERT: Es la ruta de acceso a tu certificadoca.cert.PATH_TO_ARTIFACT_TO_SIGN: Es la ruta de acceso al artefacto que que quieres firmar.
Para obtener una explicación detallada de cada opción de comando, consulta el Documentación de Jsign.