22

有许多网站解释了如何signtool.exe.pfx证书文件上运行,归结为:

signtool.exe sign /f mycert.pfx /p mypassword /t http://timestamp.server.com \
  /d "My description"   file1.exe file2.exe

我有一个持续集成 CI 流程设置(使用 TeamCity),它像大多数 CI 流程一样,做所有事情:检查源代码、编译、签署所有 .exe、打包到安装程序中,并签署安装程序 .exe。当前有 3 个构建代理,运行相同的虚拟机,其中任何一个都可以运行此过程。

不安全的实施

今天为了实现这一点,就安全性而言,我做了几件坏事(TM):.pfx 文件在源代码管理中,它的密码在构建脚本中(也在源代码管理中)。这意味着任何有权访问源代码存储库的开发人员都可以获取 pfx 文件并做他们想做的任何邪恶的事情。(我们是一个相对较小的开发商店,相信每个人都可以访问,但显然这仍然不好)。

终极安全实施

关于“正确”执行此操作,我所能找到的只是您:

  • 将 pfx 和密码保存在某个安全介质上(例如具有基于手指解锁功能的加密 USB 驱动器),并且可能不会放在一起
  • 仅指定几个人有权访问签名文件
  • 仅在未连接的专用机器上签署最终版本,该机器保存在锁定的保险库中,直到您需要将其拿出来参加此代码签名仪式。

虽然我可以看到这个安全性的优点..这是一个非常繁重的过程,并且在时间方面很昂贵(运行这个过程,安全地保存证书备份,确保代码签名机处于工作状态等)。

我敢肯定有些人会跳过步骤,只是使用存储在他们个人系统上的证书手动签署文件,但这仍然不是很好。

它也与随后在安装程序中使用的签名文件(也由构建服务器构建)不兼容 - 当您安装了具有 UAC 提示以获取管理员访问权限的 .exe 时,这一点很重要。

中间地带?

我更关心的是不向用户提供可怕的“不受信任的应用程序”UAC 提示,而不是证明它是我的公司。同时,将私钥和密码存储在每个开发人员(加上 QA 和高级技术支持)都可以访问的源代码存储库中显然不是一个好的安全实践。

我希望 CI 服务器在构建过程中仍然像今天一样签名,但没有密码(或证书的私钥部分),每个有权访问源代码存储库的人都可以访问。

有没有办法让密码不被构建或以某种方式保护?我是否应该告诉 signtool 使用证书存储(以及如何使用 3 个构建代理和构建作为非交互式用户帐户运行)?还有什么?

4

2 回答 2

10

我最终采用了与@GiulioVlan 建议的方法非常相似的方法,但做了一些更改。

MSBuild 任务

我创建了一个执行 signtool.exe 的新 MSBuild 任务。此任务有几个主要目的:

  • 它隐藏密码永远不会被显示
  • 它可以在失败时重试时间戳服务器
  • 它使调用变得容易

来源:https ://gist.github.com/gregmac/4cfacea5aaf702365724

这专门获取所有输出并通过 sanitizer 函数运行它,用所有 * 替换密码。

我不知道审查常规 MSBuild 命令的方法,因此如果您在命令行上将密码直接传递给 signtool.exe,使用它将显示密码 - 因此需要执行此任务(除了其他好处)。

注册表中的密码

我讨论了几种“带外”存储密码的方法,最终决定使用注册表。从 MSBuild 访问它很容易,手动管理也相当容易,如果用户没有 RDP 和远程注册表访问机器,它实际上是相当安全的(有人能说别的吗?)。大概也有一些方法可以使用花哨的 GPO 东西来保护它,但这超出了我想要了解的范围。

这可以通过 msbuild 轻松读取:

$(Registry:HKEY_LOCAL_MACHINE\SOFTWARE\1 Company Dev@CodeSigningCertPassword)

并且很容易通过 regedit 进行管理:

在此处输入图像描述

为什么不在其他地方?

  • 在构建脚本中:任何拥有源代码的人都可以看到它
  • 在源代码控制中加密/混淆/隐藏:如果有人获得源代码的副本,他们仍然可以弄清楚这一点
  • 环境变量:在 Teamcity Web UI 中,每个构建代理都有一个详细信息页面,该页面实际显示所有环境变量及其值。可以限制访问此页面,但这意味着其他一些功能也受到限制
  • 构建服务器上的文件:可能,但似乎更有可能通过文件共享或其他方式无意中访问它

从 MSBuild 调用

在标签中:

<Import Project="signtool.msbuild.tasks"/>

(您也可以将其与其他任务放在一个通用文件中,甚至直接嵌入)

然后,在您要用于签名的任何目标中:

<SignTool  SignFiles="file1.exe;file2.exe" 
   PfxFile="cert.pfx" 
   PfxPassword="$(Registry:HKEY_LOCAL_MACHINE\SOFTWARE\1 Company Dev@CodeSigningCertPassword)"
   TimestampServer="http://timestamp.comodoca.com/authenticode;http://timestamp.verisign.com/scripts/timstamp.dll" />

到目前为止,这运作良好。

于 2014-12-12T01:59:07.237 回答
0

一种常见的技术是将密钥和证书保留在版本控制中,但使用密码或密码保护它们。密码保存在机器本地的环境变量中,可以通过脚本轻松访问(例如%PASSWORD_FOR_CERTIFICATES%)。

必须注意不要以纯文本形式记录这些值。

于 2014-11-21T13:23:16.407 回答