Certificato Code Signing

Da ISTI S2I2S Wiki.
Jump to navigation Jump to search

Il rilascio di un certificato di tipo “code signing” per windows è un servizio fornito dal GARR. Nel nostro caso, è necessario rivolgersi a Daniele Vannozzi (daniele.vannozzi@iit.cnr.it).

Verrà compilato un form per la richiesta di un certificato “code signing” nella piattaforma Sectigo, avente i seguenti campi:

  • Organization: “Consiglio Nazionale delle Ricerche”
  • Department: “None”
  • Domain: “*.cnr.it”
  • Email Address: inserire qui l’indirizzo email del richiedente “nome.cognome@isti.cnr.it”
  • Certificate Profile: “SECTIGO Public CA CS Certificate Profile”
  • Term: “3 years”
  • Key type: “RSA - 2048”
  • Full Name: inserire qui il nome del richiedente
  • Contact email: inserire la stessa email del campo “email address”

Una volta compilato questo form, si riceverà una email all’indirizzo indicato, contenente un link. Questo link deve essere aperto sul computer sul quale verrà installato il certificato, sul browser Microsoft Edge.

Aprendo il link, si aprirà una pagina del sito Sectigo con un form “Code Signing User Registration”. Il form risulterà già parzialmente compilato.

Cs1.png

Selezionare “Generate automatically in browser”, accettare i termini di licenza e fare click su “enroll”. Apparirà una finestra contenente una password da salvare (servirà per poter scaricare il certificato):

Cs2.png


Salvare la password, e fare click su “Request Certificate”. Si verrà reindirizzati ad una pagina che dice: “Your application was accepted, you will be notified by email when your certificate is ready for collection”. Aspettare la mail di notifica (arriva dopo circa 10 minuti). Non appena arriva la mail, aprire il link contenuto nella mail nello stesso PC usato per aprire il primo link ricevuto, e sempre usando Microsoft Edge. Si aprirà una pagina dove si deve inserire la password copiata precedentemente, e successivamente fare click su “Download”. Scaricare il certificato e salvarlo con estensione “.cer”.

Su Microsoft Edge, andare su Impostazioni, e cercare tra le impostazioni “Gestisci certificati”. Fare click su Gestisci Certificati.

Cs3.png

Nel tab “Personale”, fare click su “Importa”, e si aprirà un wizard dal quale sarà possibile caricare il file “.cer” scaricato precedentemente. Caricare il certificato e inserire la password copiata precedentemente. Se in futuro si vuole poter esportare il certificato su file PFX, tra le opzioni di importazione selezionare la chiave privata come esportabile. Una volta completato il wizard, il certificato apparirà nell’elenco dei certificati ed è correttamente installato sul computer.

Per effettuare il sign di un *.exe, consiglio di usare l’applicazione “DigiCertUtil” scaricabile a questo link: https://www.digicert.com/support/tools/certificate-utility-for-windows L’applicazione è molto intuitiva, riconoscerà automaticamente la presenza di un certificato code signing installato nel PC, e selezionando il certificato permetterà di effettuare il sign di un’applicazione tramite pochi click.

Se, durante l’importazione, la chiave privata è stata settata come esportabile, è possibile esportare il certificato in formato PFX (in modo tale da poterlo installare in altri computer). Per poterlo esportare, si rimanda al seguente tutorial di Sectigo (dice di usare Internet Explorer, ma si può usare anche Edge allo stesso modo): https://sectigo.com/faqs/detail/Code-Signing-Certificate-Installation-for-Internet-Explorer/kA01N000000braq


Molte grazie per la stesura a Alessandro Muntoni.

Estratto da "https://mediawiki-s2i2s.isti.cnr.it/wiki/index.php?title=Certificato_Code_Signing&oldid=687"