Menggunakan Jsign dan PKCS#11 untuk menandatangani artefak Windows

Panduan ini memberikan petunjuk untuk membuat kunci Cloud HSM untuk penandatanganan Microsoft Authenticode melalui PKCS#11 dan Jsign.

Kasus penggunaan

Alur kerja yang diuraikan dalam dokumen ini membantu memenuhi kebutuhan keamanan perusahaan berikut:

  • Tanda tangani firmware dengan kunci pribadi yang dilindungi oleh HSM FIPS140-2 Level 3.
  • Menandatangani artefak Windows tanpa harus menggunakan signtool.

Sebelum memulai

Untuk menyelesaikan tutorial ini, Anda memerlukan hal berikut:

  • Komputer Windows dengan artefak yang ingin Anda tanda tangani. Pastikan Java diinstal di komputer ini.

  • Cloud Shell atau mesin Linux Anda sendiri, untuk membuat permintaan penandatanganan sertifikat atau sertifikat. Di komputer ini, selesaikan konfigurasi yang didokumentasikan dalam Penyiapan OpenSSL.

Jangan lupa untuk menjalankan gcloud auth application-default login jika Anda belum melakukannya.

Di komputer Windows, download file JAR rilis Jsign terbaru menggunakan perintah powershell berikut:

wget https://github.com/ebourg/jsign/releases/download/JSIGN.VERSION/jsign-JSIGN.VERSION.jar -O jsign.jar

Konfigurasi

Membuat kunci penandatanganan yang dihosting Cloud KMS

Dengan menggunakan Cloud Shell atau komputer Anda sendiri, buat key ring Cloud KMS di project Google Cloud menggunakan perintah berikut:

gcloud kms keyrings create "KEY_RING" --location "LOCATION"

Kemudian, buat kunci penandatanganan hardware EC-P256-SHA256 Cloud KMS di projectGoogle Cloud , di key ring yang baru saja Anda buat:

gcloud kms keys create "KEY_NAME" --keyring "KEY_RING" \
  --project "PROJECT_ID" --location "LOCATION" \
  --purpose "asymmetric-signing" --default-algorithm "ec-sign-p256-sha256" \
  --protection-level "hsm"

Mendownload pengesahan HSM

Pengesahan HSM adalah bukti bahwa kunci Anda berada di HSM. Bukti ini mungkin diperlukan oleh Certificate Authority (CA) Anda untuk menerbitkan sertifikat Extended Validation (EV).

Untuk mendownload pengesahan HSM yang terkait dengan kunci Cloud KMS Anda, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Key Management.

    Buka Key Management

  2. Pilih key ring yang berisi kunci yang ingin Anda sahkan, lalu pilih kunci.

  3. Klik Lainnya untuk versi kunci yang ingin Anda sahkan, lalu klik Verifikasi pengesahan.

  4. Dalam dialog Verifikasi pengesahan, klik Download paket pengesahan. Tindakan ini akan mendownload file zip yang berisi rantai pengesahan dan sertifikat.

Lihat Mengurai pengesahan untuk mendapatkan petunjuk lengkap tentang cara memverifikasi pengesahan yang didownload.

Membuat sertifikat yang ditandatangani sendiri dengan OpenSSL

Langkah ini bersifat opsional, tetapi membantu Anda memahami langkah-langkah berikutnya sebelum Anda melalui proses dan biaya pembelian sertifikat yang ditandatangani oleh Certificate Authority.

Dengan menggunakan Cloud Shell atau mesin Anda sendiri, buat sertifikat yang ditandatangani sendiri dengan kunci penandatanganan yang dihosting Cloud KMS. Anda dapat menggunakan OpenSSL untuk menggunakan URI PKCS #11, bukan jalur file, dan mengidentifikasi kunci berdasarkan labelnya. Dalam library PKCS #11 Cloud KMS, label kunci setara dengan nama CryptoKey.

openssl req -new -x509 -days 3650 -subj '/CN=test/' -sha256 -engine pkcs11 \
  -keyform engine -key pkcs11:object=KEY_NAME > ca.cert

Jika perintah ini gagal, PKCS11_MODULE_PATH mungkin telah ditetapkan dengan salah, atau Anda mungkin tidak memiliki izin yang tepat untuk menggunakan kunci penandatanganan Cloud KMS.

Sekarang Anda akan memiliki sertifikat yang terlihat seperti ini:

-----BEGIN CERTIFICATE-----
...
...
...
-----END CERTIFICATE-----

Salin sertifikat ke komputer Windows agar Anda dapat menggunakannya dengan Jsign untuk menandatangani artefak.

Membuat permintaan penandatanganan sertifikat baru

Anda dapat membuat permintaan penandatanganan sertifikat (CSR) untuk kunci penandatanganan Cloud HSM. Selesaikan langkah-langkah ini jika otoritas sertifikasi Anda memerlukan CSR untuk membuat sertifikat baru guna menandatangani kode.

Menggunakan Cloud Shell atau mesin Anda sendiri, jalankan perintah berikut:

openssl req -new -subj '/CN=CERTIFICATE_NAME/' DIGEST_FLAG \
  -engine pkcs11 -keyform engine \
  -key pkcs11:id=KEY_ID > REQUEST_NAME.csr

Ganti kode berikut:

  • CERTIFICATE_NAME: nama untuk sertifikat yang ingin Anda buat.
  • DIGEST_FLAG: flag yang menunjukkan jenis ringkasan. Gunakan -sha256, -sha384, atau -sha512, bergantung pada algoritma kunci.
  • KEY_ID: ID resource yang sepenuhnya memenuhi syarat dari versi kunci penandatanganan assimetris—misalnya, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/1.
  • REQUEST_NAME: nama untuk permintaan penandatanganan sertifikat.

Pastikan Anda menggunakan opsi -sigopt yang benar untuk jenis kunci yang Anda gunakan.

Setelah memiliki CSR, Anda dapat memberikannya ke Certificate Authority (CA) untuk mendapatkan sertifikat penandatanganan. Gunakan sertifikat yang disediakan oleh CA Anda di bagian berikutnya.

Menandatangani artefak dengan Jsign

Setelah berhasil membuat sertifikat (ditandatangani sendiri atau diperoleh dari Certificate Authority) dan menyalinnya ke komputer Windows, Anda dapat menggunakannya untuk menandatangani artefak Windows.

Untuk mengetahui daftar format file yang didukung, jalankan perintah jsign --help.

Gunakan Jsign untuk menandatangani artefak, menggunakan kunci Cloud KMS dan sertifikat Anda.

java -jar PATH_TO_JSIGN.JAR --storetype GOOGLECLOUD \
  --storepass $(gcloud auth application-default print-access-token) \
  --keystore projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING \
  --alias KEY_NAME \
  --certfile PATH_TO_CA.CERT
  PATH_TO_ARTIFACT_TO_SIGN

Ganti kode berikut:

  • PATH_TO_JSIGN.JAR: jalur ke jsign.jar.
  • PATH_TO_CA.CERT: jalur ke sertifikat Anda ca.cert.
  • PATH_TO_ARTIFACT_TO_SIGN: jalur ke artefak yang ingin Anda tanda tangani.

Untuk penjelasan mendetail tentang setiap opsi perintah, lihat dokumentasi Jsign resmi.