Esta página se ha traducido con Cloud Translation API.

Usar Jsign y PKCS#11 para firmar artefactos de Windows

En esta guía se explica cómo crear una clave de Cloud HSM para la firma de Microsoft Authenticode mediante PKCS#11 y Jsign.

Casos prácticos

El flujo de trabajo descrito en este documento ayuda a abordar las siguientes necesidades de seguridad empresarial:

Firmar el firmware con una clave privada protegida por un HSM con certificación FIPS 140-2 de nivel 3.
Firmar artefactos de Windows sin tener que usar signtool.

Antes de empezar

Para completar este tutorial, necesitas lo siguiente:

Un equipo Windows con los artefactos que quieras firmar. Asegúrate de que Java esté instalado en este equipo.
Cloud Shell o tu propia máquina Linux para generar una solicitud de firma de certificado o un certificado. En este equipo, completa la configuración que se describe en Configuración de OpenSSL.

Nota: Si usas Cloud Shell, tu máquina será efímera y ningún cambio en todo el sistema (como apt-get) se conservará después de que finalice la sesión.

Recuerda ejecutar gcloud auth application-default login si aún no lo has hecho.

En tu máquina Windows, descarga el archivo JAR de la versión más reciente de Jsign con el siguiente comando de PowerShell:

wget https://github.com/ebourg/jsign/releases/download/JSIGN.VERSION/jsign-JSIGN.VERSION.jar -O jsign.jar

Configuración

Crear una clave de firma alojada en Cloud KMS

En Cloud Shell o en tu propia máquina, crea un conjunto de claves de Cloud KMS en tu proyecto Google Cloud con el siguiente comando:

gcloud kms keyrings create "KEY_RING" --location "LOCATION"

A continuación, crea una EC-P256-SHA256clave de firma de hardwareGoogle Cloud de Cloud KMS en tu proyecto, en el conjunto de claves que acabas de crear:

gcloud kms keys create "KEY_NAME" --keyring "KEY_RING" \
  --project "PROJECT_ID" --location "LOCATION" \
  --purpose "asymmetric-signing" --default-algorithm "ec-sign-p256-sha256" \
  --protection-level "hsm"

Descargar la atestación del HSM

Una atestación de HSM es una prueba de que tu clave reside en un HSM. Es posible que tu autoridad de certificación (CA) te pida esta prueba para emitir un certificado de validación ampliada (VA).

Para descargar la atestación de HSM asociada a tu clave de Cloud KMS, sigue estos pasos:

En la consola de Google Cloud , ve a la página Gestión de claves.

Ir a Administración de claves
Seleccione el llavero que contenga la clave que quiera certificar y, a continuación, seleccione la clave.
Haga clic en Más en la versión de la clave que quiera verificar y, a continuación, haga clic en Verificar atestación.
En el cuadro de diálogo Verificar atestación, haz clic en Descargar paquete de atestación. Se descargará un archivo ZIP que contiene las cadenas de certificación y atestación.

Consulta Analizar la certificación para obtener instrucciones completas sobre cómo verificar la certificación descargada.

Crear un certificado autofirmado con OpenSSL

Este paso es opcional, pero te ayuda a familiarizarte con los pasos posteriores antes de llevar a cabo el proceso y el gasto de comprar un certificado firmado por una autoridad de certificación.

Con Cloud Shell o tu propia máquina, genera un certificado autofirmado con la clave de firma alojada en Cloud KMS. Puedes usar OpenSSL para usar un URI PKCS #11 en lugar de una ruta de archivo e identificar la clave por su etiqueta. En la biblioteca PKCS #11 de Cloud KMS, la etiqueta de la clave equivale al nombre de CryptoKey.

openssl req -new -x509 -days 3650 -subj '/CN=test/' -sha256 -engine pkcs11 \
  -keyform engine -key pkcs11:object=KEY_NAME > ca.cert

Si este comando falla, es posible que PKCS11_MODULE_PATH se haya configurado de forma incorrecta o que no tengas los permisos adecuados para usar la clave de firma de Cloud KMS.

Ahora debería tener un certificado con este aspecto:

-----BEGIN CERTIFICATE-----
...
...
...
-----END CERTIFICATE-----

Copia el certificado en tu máquina Windows para poder usarlo con Jsign y firmar tus artefactos.

Crear una solicitud de firma de certificado

Puedes generar una solicitud de firma de certificado (CSR) para una clave de firma de Cloud HSM. Sigue estos pasos si tu autoridad de certificación requiere una CSR para generar un nuevo certificado de firma de código.

En Cloud Shell o en tu propia máquina, ejecuta el siguiente comando:

openssl req -new -subj '/CN=CERTIFICATE_NAME/' DIGEST_FLAG \
  -engine pkcs11 -keyform engine \
  -key pkcs11:id=KEY_ID > REQUEST_NAME.csr

Haz los cambios siguientes:

CERTIFICATE_NAME: el nombre del certificado que quieras generar.
DIGEST_FLAG: una marca que indica el tipo de resumen. Usa -sha256, -sha384 o -sha512 en función del algoritmo de la clave.
KEY_ID: el ID de recurso completo de una versión de clave de firma asimétrica. Por ejemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/1.
REQUEST_NAME: un nombre para la solicitud de firma del certificado.

Asegúrate de usar las opciones de -sigopt correctas para el tipo de clave que estés usando.

Ahora que tienes tu CSR, puedes proporcionárselo a tu autoridad de certificación para obtener el certificado de firma. Usa el certificado proporcionado por tu AC en la siguiente sección.

Firmar un artefacto con Jsign

Ahora que has creado un certificado (autofirmado u obtenido de la autoridad de certificación) y lo has copiado en tu máquina Windows, puedes usarlo para firmar un artefacto de Windows.

Para ver una lista de los formatos de archivo admitidos, ejecuta el comando jsign --help.

Usa Jsign para firmar los artefactos con tu clave de Cloud KMS y tu certificado.

java -jar PATH_TO_JSIGN.JAR --storetype GOOGLECLOUD \
  --storepass $(gcloud auth application-default print-access-token) \
  --keystore projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING \
  --alias KEY_NAME \
  --certfile PATH_TO_CA.CERT
  PATH_TO_ARTIFACT_TO_SIGN