Всем привет!

В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

Здравствуйте, gamecat, Вы писали:

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

Я ничего не ввожу вообще. Инструкция вот тут —

https://stackoverflow.com/questions/17927895/automate-extended-validation-ev-code-signing-with-safenet-etoken

обрати внимание —

Warning: This solution may lock you out of your hardware token if you enter the wrong password, even just twice! Somehow the password retries remaining counter decreased from 15 to 3 after I executed the command just once with an invalid password. The "etokensign.exe" solution seems to work ok though, the remaining password counter decreased as it should from 15 to 14 after one invalid password attempt.

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

Там есть дыра. Если при инсталляции не выбрать fortify,то ключ установится как раньше, то есть в реестр. Но повторить это все довольно стремно — есть подозрение, что экспортнуть сертификат в pfx уже не получится.

Но я бы установил (или сделал) утилиту, которая бы подсовывала пароль в нужных местах через SendKeys.

Здравствуйте, gamecat, Вы писали:

G>Всем привет!

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

BOOL g_bBusy = FALSE;
void CKillSigningWinowDlg::OnTimer(UINT nIDEvent)
{
// TODO: Add your message handler code here and/or call default

if(g_bBusy){ return; }
g_bBusy = TRUE;

// return;
HWND hWnd;
// while(hWnd = ::FindWindow(NULL, "Enter Private Key Password")){
while(hWnd = ::FindWindow(NULL, "Пароль закрытого ключа")){
if(hWnd){
CWnd *pActive = CWnd::FromHandle(hWnd);
if(pActive){
CWnd *pEdit = pActive->GetDlgItem(0x1F5);
CWnd *pFocus = pActive->GetDlgItem(1);

CEdit* pEdit1 = (CEdit* )pEdit;

if(pEdit){

pEdit1->SetSel(0, -1);
pEdit1->Clear();

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);

pEdit->SendMessage(WM_KEYDOWN, '№', 0);
pEdit->SendMessage(WM_CHAR, '№', 0);
pEdit->SendMessage(WM_KEYUP, '№', 0);
// Sleep(100);
}


if(pFocus && (pEdit1->LineLength() == 8)){
pFocus->PostMessage(WM_KEYDOWN, VK_RETURN, 0);
pFocus->PostMessage(WM_CHAR, VK_RETURN, 0);
pFocus->PostMessage(WM_KEYUP, VK_RETURN, 0);
}
}
}
Sleep(1000);
}

g_bBusy = FALSE;

CDialog::OnTimer(nIDEvent);
}

Здравствуйте, gamecat, Вы писали:

G>чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

Я хз какой софт использует GlobalSign, у меня DigiCert и софт называется SafeNet Authentication Client.

Там есть настройка Tools — Settings — Client Settings — Advanced — Enable single logon.

Здравствуйте, Sharowarsheg, Вы писали:

S>Я ничего не ввожу вообще. Инструкция вот тут —
S>https://stackoverflow.com/questions/17927895/automate-extended-validation-ev-code-signing-with-safenet-etoken

Какой именно вариант у вас заработал? По ссылке все для токена safenet, а тут рутокен. Попробовал собрать etokensign.exe — не подписывает с ошибкой "CryptUIWizDigitalSign failed, error 0x8009310b"

Здравствуйте, Черный 😈 Властелин, Вы писали:

ЧВ>Я хз какой софт использует GlobalSign, у меня DigiCert и софт называется SafeNet Authentication Client.
ЧВ>Там есть настройка Tools — Settings — Client Settings — Advanced — Enable single logon.

Globalsign прислал рутокен, это другой токен. У него есть похожая фича, но она не подходит в данном случае:
"Кеширование PIN-кода в панели управления запоминает PIN-код лишь для одного системного процесса и на очень короткий срок."

Здравствуйте, gamecat, Вы писали:

S>>https://stackoverflow.com/questions/17927895/automate-extended-validation-ev-code-signing-with-safenet-etoken

G>Какой именно вариант у вас заработал? По ссылке все для токена safenet, а тут рутокен. Попробовал собрать etokensign.exe — не подписывает с ошибкой "CryptUIWizDigitalSign failed, error 0x8009310b"

Тот, который accepted answer, с зеленой галочкой.

Здравствуйте, Sharowarsheg, Вы писали:

S>Тот, который accepted answer, с зеленой галочкой.

Уточно все-таки, у вас точно Рутокен? Указанным способом на Stack Overflow так и не смог запустить.
Тем более там же написано, что

The eToken CSP has hidden (or at least not widely advertised) functionality to parse the token password out of the container name.

То есть это все про SafeNet eToken, а не Рутокен.

Здравствуйте, gamecat, Вы писали:

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

Я думаю через 2 года когда встанет аналогичная проблема (пока сертификат PFX старый без hardware, специально обновил перед этим всем гемором) делать через Azure Vault.
У GlobalSign вроде бы есть с ними интеграция нормальная?

https://www.globalsign.com/en/repository/globalsign-integration-guide-azure-key-vault.pdf

Здравствуйте, gamecat, Вы писали:

S>>Тот, который accepted answer, с зеленой галочкой.

G>Уточно все-таки, у вас точно Рутокен?

Нет. Я как-то упустил из виду, что они отличаются. Прошу прощения. У меня SafeNet eToken. Мне как-то не пришло в голову, что они могут присылать что-то другое.

Здравствуйте, gamecat, Вы писали:

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

Аналогично. Ключ на рутокене. Сейчас не найду, но где-то на сайте globalsign был мануал о подписи через java приложение. У меня это в батнике прописано, я просто вставляю флешку в USB и вызываю makefile.bat, никаких паролей и пинов не требуется.

G>>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?

S>Аналогично. Ключ на рутокене. Сейчас не найду, но где-то на сайте globalsign был мануал о подписи через java приложение. У меня это в батнике прописано, я просто вставляю флешку в USB и вызываю makefile.bat, никаких паролей и пинов не требуется.

Вы не могли бы показать содержимое батника?

Здравствуйте, Victor Ivanidze, Вы писали:

VI>Вы не могли бы показать содержимое батника?

java -jar jsign-5.0.jar --keystore Token.cfg --alias "RSA" --storetype PKCS11 --storepass XXXXXXXXX --alg SHA-256 --tsaurl http://timestamp.globalsign.com/tsa/r6advanced1 --tsmode RFC3161 %OutputDirWin64%\webapi.exe

Вместо XXXXXXX — настоящий пароль.

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много... Приватный ключ с рутокена никак не взять, как я понимаю. Задать PIN код в signtool нет возможности. Кто-нибудь как-то автоматизировал этот процесс, чтобы ну пусть один раз за сессию вводить PIN, а не на каждый чих?


Вот тут гляньте.

Здравствуйте, gamecat, Вы писали:

G>В этом году globalsign прислал рутокен для сертификата кода. Пользоваться конечно им очень неудобно — inno setup при создании инсталляции раз 5-6 спрашивает PIN. А инсталляций много...

Ахренеть как удобно! А я то, дурак, по старинке купил в виде файла.