使用CryptUIWizDigitalSign API签署appxbundle
我在Authenticode签署UWP appxbundle文件方面遇到了一个相当有趣的问题。
一些背景: 客户向我们提供了包含签名证书的SafeNet USB令牌。当然,私钥不可导出。我希望能够将此证书用于我们的自动发布版本以对包进行签名。遗憾的是,令牌需要在每个会话中输入一次PIN,因此,例如,如果构建代理重新启动,则构建将失败。我们在令牌上启用了单一登录,因此只要一次会话就可以解锁它。
现状: 鉴于令牌已被解锁,我们可以在appxbundle上使用signtool而不会出现任何问题。这种方法运行良好,但一旦重新启动机器或工作站被锁定就会中断。
经过一番搜索,我找到了this段代码。这将获取签名参数(包括令牌PIN)并调用Windows API对目标文件进行签名。我设法编译了这个并且它完美地用于签署安装包装器(EXE文件) - 令牌没有要求PIN并且由API调用自动解锁。
但是,当我在appxbundle文件上调用相同的代码时,对CryptUIWizDigitalSign的调用失败,错误代码为0x80080209 APPX_E_INVALID_SIP_CLIENT_DATA。这对我来说是个谜,因为在同一个包上调用signtool,相同的参数/证书可以正常工作,所以证书应该与包完全兼容。
有没有人有这样的经历?有没有办法弄清楚错误的根本原因(我的证书和捆绑包之间有什么不兼容)?
编辑1
回应评论:
我用来调用API的代码(直接来自上述SO问题)
#include <windows.h>
#include <cryptuiapi.h>
#include <iostream>
#include <string>
#pragma comment (lib, "cryptui.lib")
const std::wstring ETOKEN_BASE_CRYPT_PROV_NAME = L"eToken Base Cryptographic Provider";
std::string utf16_to_utf8(const std::wstring& str)
{
if (str.empty())
{
return "";
}
auto utf8len = ::WideCharToMultiByte(CP_UTF8, 0, str.data(), str.size(), NULL, 0, NULL, NULL);
if (utf8len == 0)
{
return "";
}
std::string utf8Str;
utf8Str.resize(utf8len);
::WideCharToMultiByte(CP_UTF8, 0, str.data(), str.size(), &utf8Str[0], utf8Str.size(), NULL, NULL);
return utf8Str;
}
struct CryptProvHandle
{
HCRYPTPROV Handle = NULL;
CryptProvHandle(HCRYPTPROV handle = NULL) : Handle(handle) {}
~CryptProvHandle() { if (Handle) ::CryptReleaseContext(Handle, 0); }
};
HCRYPTPROV token_logon(const std::wstring& containerName, const std::string& tokenPin)
{
CryptProvHandle cryptProv;
if (!::CryptAcquireContext(&cryptProv.Handle, containerName.c_str(), ETOKEN_BASE_CRYPT_PROV_NAME.c_str(), PROV_RSA_FULL, CRYPT_SILENT))
{
std::wcerr << L"CryptAcquireContext failed, error " << std::hex << std::showbase << ::GetLastError() << L"\n";
return NULL;
}
if (!::CryptSetProvParam(cryptProv.Handle, PP_SIGNATURE_PIN, reinterpret_cast<const BYTE*>(tokenPin.c_str()), 0))
{
std::wcerr << L"CryptSetProvParam failed, error " << std::hex << std::showbase << ::GetLastError() << L"\n";
return NULL;
}
auto result = cryptProv.Handle;
cryptProv.Handle = NULL;
return result;
}
int wmain(int argc, wchar_t** argv)
{
if (argc < 6)
{
std::wcerr << L"usage: etokensign.exe <certificate file path> <private key container name> <token PIN> <timestamp URL> <path to file to sign>\n";
return 1;
}
const std::wstring certFile = argv[1];
const std::wstring containerName = argv[2];
const std::wstring tokenPin = argv[3];
const std::wstring timestampUrl = argv[4];
const std::wstring fileToSign = argv[5];
CryptProvHandle cryptProv = token_logon(containerName, utf16_to_utf8(tokenPin));
if (!cryptProv.Handle)
{
return 1;
}
CRYPTUI_WIZ_DIGITAL_SIGN_EXTENDED_INFO extInfo = {};
extInfo.dwSize = sizeof(extInfo);
extInfo.pszHashAlg = szOID_NIST_sha256; // Use SHA256 instead of default SHA1
CRYPT_KEY_PROV_INFO keyProvInfo = {};
keyProvInfo.pwszContainerName = const_cast<wchar_t*>(containerName.c_str());
keyProvInfo.pwszProvName = const_cast<wchar_t*>(ETOKEN_BASE_CRYPT_PROV_NAME.c_str());
keyProvInfo.dwProvType = PROV_RSA_FULL;
CRYPTUI_WIZ_DIGITAL_SIGN_CERT_PVK_INFO pvkInfo = {};
pvkInfo.dwSize = sizeof(pvkInfo);
pvkInfo.pwszSigningCertFileName = const_cast<wchar_t*>(certFile.c_str());
pvkInfo.dwPvkChoice = CRYPTUI_WIZ_DIGITAL_SIGN_PVK_PROV;
pvkInfo.pPvkProvInfo = &keyProvInfo;
CRYPTUI_WIZ_DIGITAL_SIGN_INFO signInfo = {};
signInfo.dwSize = sizeof(signInfo);
signInfo.dwSubjectChoice = CRYPTUI_WIZ_DIGITAL_SIGN_SUBJECT_FILE;
signInfo.pwszFileName = fileToSign.c_str();
signInfo.dwSigningCertChoice = CRYPTUI_WIZ_DIGITAL_SIGN_PVK;
signInfo.pSigningCertPvkInfo = &pvkInfo;
signInfo.pwszTimestampURL = timestampUrl.c_str();
signInfo.pSignExtInfo = &extInfo;
if (!::CryptUIWizDigitalSign(CRYPTUI_WIZ_NO_UI, NULL, NULL, &signInfo, NULL))
{
std::wcerr << L"CryptUIWizDigitalSign failed, error " << std::hex << std::showbase << ::GetLastError() << L"\n";
return 1;
}
std::wcout << L"Successfully signed " << fileToSign << L"\n";
return 0;
}
证书是从令牌导出的CER文件(仅限公共部分),容器名称取自令牌的信息。正如我所提到的,这适用于EXE文件。
signtool命令
signtool sign /sha1 "cert thumbprint" /fd SHA256 /n "subject name" /t "http://timestamp.verisign.com/scripts/timestamp.dll" /debug "$path"
当我手动或在解锁令牌时从CI构建中调用它时,这也有效。但上面的代码因上述错误而失败。
编辑2
感谢大家,我现在有了一个有效的实施方案!我最终使用了SignerSignEx2 API,正如RbMm所建议的那样。这似乎适用于appx捆绑包和PE文件(每个都有不同的参数)。在Windows 10上使用TFS 2017构建代理进行验证 - 解锁令牌,在证书库中查找指定的证书,并在指定文件上标记+时间戳。
如果有兴趣的话,我在GitHub上发布了结果:https://github.com/mareklinka/SafeNetTokenSigner
1 个答案:
答案 0 :(得分:7)
首先,我看看CryptUIWizDigitalSign失败的地方:
名为SignerSignEx的CryptUIWizDigitalSign函数,pSipData == 0。用于签署 PE 文件( exe , dll , sys ) - 这没关系,并且可以正常工作。但对于 appxbundle (zip存档文件类型),此参数必须且必须指向APPX_SIP_CLIENT_DATA:对于 appxbundle 调用堆栈是
CryptUIWizDigitalSign
SignerSignEx
HRESULT Appx::Packaging::AppxSipClientData::Initialize(SIP_SUBJECTINFO* subjectInfo)
在Appx::Packaging::AppxSipClientData::Initialize的最开始,我们可以查看下一个代码:
if (!subjectInfo->pClientData) return APPX_E_INVALID_SIP_CLIENT_DATA;
这正是您的代码失败的地方。
在这种情况下,而不是CryptUIWizDigitalSign需要直接调用SignerSignEx2和pSipData是必需参数。
存在完整的工作示例 - How to programmatically sign an app package (C++)
关键点在这里:
APPX_SIP_CLIENT_DATA sipClientData = {};
sipClientData.pSignerParams = &signerParams;
signerParams.pSipData = &sipClientData;
现代SignTool致电SignerSignEx2直接:
这里再次清晰可见:
if (!subjectInfo->pClientData) return APPX_E_INVALID_SIP_CLIENT_DATA;
此后称为
HRESULT Appx::Packaging::Packaging::SignFile(
PCWSTR FileName, APPX_SIP_CLIENT_DATA* sipClientData)
这里开始下一个代码:
if (!sipClientData->pSignerParams) return APPX_E_INVALID_SIP_CLIENT_DATA;
在msdn中明确指出:
您必须提供指向 APPX_SIP_CLIENT_DATA 结构的指针 签署应用程序包时, pSipData 参数。你必须 使用 APPX_SIP_CLIENT_DATA 的 pSignerParams 成员填充 与用于对应用程序包签名的参数相同。去做这个, 在 SIGNER_SIGN_EX2_PARAMS 上定义您想要的参数 结构,将此结构的地址分配给 pSignerParams , 然后直接引用结构的成员 致电 SignerSignEx2 。
问题 - 为什么需要再次提供相同的参数,用于调用SignerSignEx2?因为appxbundle实际上是归档,其中包含多个文件。每个文件都需要签名。对此Appx::Packaging::Packaging::SignFile 递归再次致电SignerSignEx2:
用于此递归调用pSignerParams并使用 - 用于调用SignerSignEx2,其参数与顶部调用完全相同
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?