Azure Trusted Signing mit XLS Padlock verwenden: eine Schritt-für-Schritt-Anleitung

Von G.D.G. Software

In der heutigen sicherheitsbewussten Umgebung erfordert die Verteilung Ihrer mit XLS Padlock kompilierten Excel-Anwendungen mehr als nur Funktionalität, sie verlangt Vertrauen. Nicht signierte ausführbare Dateien lösen häufig einschüchternde Warnungen von Betriebssystemen wie Windows Defender SmartScreen aus, was Anwender abschrecken und die Glaubwürdigkeit Ihrer Arbeit untergraben kann.

Diese Anleitung bietet ein Schritt-für-Schritt-Tutorial für Entwickler, die XLS Padlock verwenden, um ihre geschützten Excel-Anwendungen mit dem kostengünstigen Azure Trusted Signing-Dienst von Microsoft digital zu signieren. Auf diese Weise geben Sie Anwendern die Gewissheit, dass Ihre Anwendung authentisch ist und nicht manipuliert wurde.

Hinweis

Beachten Sie, dass XLS Padlock Ihre EXE-Dateien auch mit anderen Mitteln als Azure Trusted Signing digital signieren kann.

Darüber hinaus können Sie, wenn Sie über kein Code-Signing-Zertifikat verfügen, dennoch das Format EXE + Application XPLAPP Bundle in XLS Padlock wählen. So ist Ihre Excel-Anwendung dennoch signiert und wird von SmartScreen als sicher erkannt.

In diesem Artikel widmen wir uns Azure Trusted Signing.

1. Das Wesentliche: Voraussetzungen für das Signieren

Bevor wir XLS Padlock konfigurieren, ist es entscheidend, dass Ihre Azure-Umgebung und Ihre lokalen Tools bereitstehen. Diese grundlegende Arbeit sorgt für eine reibungslose Integration und verhindert häufige Fehler.

Ihre Azure Trusted Signing-Einrichtung

Dieser Vorgang setzt voraus, dass Sie über eine vollständig konfigurierte Azure Trusted Signing-Umgebung verfügen. Dies ist die wichtigste Voraussetzung und umfasst drei Schlüsselkomponenten in Ihrem Azure-Portal:

• Trusted Signing Account (Konto für vertrauenswürdiges Signieren): Dies ist Ihre zentrale Anlaufstelle in Azure zur Verwaltung von Zertifikatprofilen. Sein Name muss global eindeutig sein.

• Certificate Profile (Zertifikatprofil): Dieses innerhalb Ihres Kontos erstellte Profil definiert die Eigenschaften des Zertifikats. Für Software, die an die Öffentlichkeit verteilt wird, verwenden Sie ein “Public Trust”-Profil.

• Identity Validation (Identitätsprüfung): Für Public-Trust-Zertifikate verlangt Azure eine gründliche Prüfung Ihrer rechtlichen Identität oder der Ihrer Organisation. Dieser Vorgang ist unerlässlich, um die Vertrauenswürdigkeit Ihrer Signatur zu begründen, und kann einige Zeit in Anspruch nehmen.

Benötigen Sie Hilfe bei diesem Teil?

Die Einrichtung dieser Azure-Ressourcen ist ein detaillierter Vorgang. Bitte konsultieren Sie unser spezielles Tutorial zur Einrichtung eines Azure Trusted Signing-Kontos, bevor Sie fortfahren.

Erforderliche lokale Tools ⚙️

Sie benötigen drei zentrale Softwarekomponenten, die auf Ihrem Entwicklungsrechner installiert sind, um XLS Padlock mit dem cloudbasierten Dienst von Azure zu verbinden.

1. Microsoft Azure CLI: Die Azure Command-Line Interface (CLI) ist die Brücke, die Ihren Computer bei Ihrem Azure-Konto authentifiziert. Der Befehl az login ist für diesen Vorgang zentral.

   • Aktion: Laden Sie die Azure CLI herunter und installieren Sie sie von der offiziellen Microsoft-Seite.

2. Microsoft Trusted Signing Client Tools: Dieses Paket stellt die erforderliche Bibliothek (Azure.CodeSigning.Dlib.dll) bereit, die es herkömmlichen Signierwerkzeugen ermöglicht, mit dem Azure-Cloud-Dienst zu kommunizieren.

   • Aktion: Laden Sie die Trusted Signing Client Tools herunter und installieren Sie sie. Sie werden in der Regel in einem Verzeichnis wie C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\ installiert.

3. SignTool.exe: Dies ist das Standard-Befehlszeilenprogramm von Microsoft zum Anwenden digitaler Signaturen auf Dateien. Es ist im Windows SDK enthalten.

   • Aktion: Laden Sie das neueste Windows SDK herunter. Während der Installation müssen Sie die Komponente “Windows SDK Signing Tools for Desktop Apps” auswählen. Ein gängiger Pfad für das Tool ist C:\Program Files (x86)\Windows Kits\10\bin\SDK_VERSION\x64\signtool.exe.

💡XLS Padlock prüft das Vorhandensein dieser Tools, daher ist die ordnungsgemäße Installation der erste Schritt zum Erfolg.

2. XLS Padlock für die Azure-Signierung konfigurieren

Nachdem die Grundlagen gelegt sind, können Sie XLS Padlock nun anweisen, wie diese Tools zu verwenden sind und wie die Verbindung zu Ihrem Azure-Konto hergestellt wird.

A. Tool-Pfade in den XLS Padlock-Optionen festlegen

Zuerst müssen Sie XLS Padlock mitteilen, wo sich SignTool.exe und die Azure-Dlib-Erweiterung befinden.

1. Öffnen Sie XLS Padlock und navigieren Sie zur Seite Security (Sicherheit). Gehen Sie zu EXE Code Signing (EXE-Codesignierung).

2. Klicken Sie auf die Schaltfläche Global Preferences (Globale Einstellungen).

3. Geben Sie die vollständigen Dateipfade für SignTool.exe und Azure.CodeSigning.Dlib.dll an, basierend darauf, wo Sie diese im vorherigen Schritt installiert haben. Zum Beispiel:

   • SignTool.exe Path: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe (passen Sie die Versionsnummer nach Bedarf an).

   • Azure.CodeSigning.Dlib.dll Path: C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\Azure.CodeSigning.Dlib.dll (ersetzen Sie YOUR_LOGIN durch Ihren Windows-Benutzernamen).

4. Bestätigen Sie mit Close (Schließen).

B. Azure Trusted Signing für Ihre Anwendung aktivieren

Gehen Sie im XLS Padlock-Hauptfenster zur Registerkarte Security (Sicherheit) und dann zu EXE Code Signing (EXE-Codesignierung).

1. Wählen Sie aus dem Dropdown-Menü “Use Azure Trusted Signing” (Azure Trusted Signing verwenden).

2. Optional aktivieren Sie das Kontrollkästchen “automatically sign my EXE file” (meine EXE-Datei automatisch signieren).

In diesem Stadium verwendet XLS Padlock die soeben konfigurierten Pfade, um nach den erforderlichen Tools zu suchen. Sie sollten eine Bestätigungsmeldung sehen, etwa ein grünes Häkchen ✅, das anzeigt, dass SignTool.exe und die Dlib-Erweiterung gefunden wurden. Falls Sie einen Fehler sehen, überprüfen Sie Ihre Installation und die Pfade, die Sie in den Global Preferences (Globale Einstellungen) eingegeben haben.

C. Ihre Azure-Kontodaten eingeben 🔑

Der letzte Konfigurationsschritt besteht darin, Ihre spezifischen Azure Trusted Signing-Anmeldedaten anzugeben. Diese Felder verbinden XLS Padlock direkt mit Ihrem Zertifikatprofil.

• Trusted Signing Account Endpoint: Dies ist die regionsspezifische URL für Ihren Azure Trusted Signing-Dienst. Sie finden diese URL auf der Übersichtsseite Ihres Trusted Signing Account im Azure-Portal. Es ist entscheidend, den korrekten regionalen Endpunkt zu verwenden.

• Trusted Signing Account Name: Dies ist der eindeutige Name, den Sie Ihrem Trusted Signing Account bei der Erstellung in Azure gegeben haben.

• Certificate Profile Name: Dies ist der Name des spezifischen Zertifikatprofils (z. B. MyPublicTrustProfile), das Sie zum Signieren Ihrer XLS Padlock-Anwendungen verwenden möchten.

ℹ️ Das korrekte Ausfüllen dieser drei Felder ist für den Erfolg des Signiervorgangs unerlässlich.

3. Die letzten Schritte: Authentifizieren und Kompilieren

Nachdem die Konfiguration abgeschlossen ist, läuft der Vorgang des Signierens Ihrer Anwendung nun wunderbar reibungslos ab.

A. Ihre Sitzung mit az login authentifizieren

Vor dem Kompilieren müssen Sie Ihre aktuelle Befehlszeilensitzung bei Azure authentifizieren. Dies ist kein einmaliger Schritt. Authentifizierungstokens laufen ab, daher müssen Sie dies regelmäßig durchführen.

1. Öffnen Sie ein Befehlszeilentool wie Windows Terminal, PowerShell oder die Eingabeaufforderung.

2. Führen Sie den Befehl aus: az login

3. Dieser Befehl startet Ihren Standard-Webbrowser und fordert Sie auf, sich bei dem Microsoft-Konto anzumelden, das mit Ihrem Azure Trusted Signing-Abonnement verknüpft ist.

4. Sobald Sie sich erfolgreich angemeldet haben, können Sie die Browser-Registerkarte schließen. Ihre Befehlszeilensitzung ist nun authentifiziert.

XLS Padlock ist auf diese aktive Sitzung angewiesen, um das Signieren durchzuführen. Wenn der Signiervorgang mit einem Authentifizierungsfehler fehlschlägt, sollten Sie zuerst prüfen, ob Sie az login erneut ausführen müssen.

B. Ihre Arbeitsmappe kompilieren und signieren

Das ist der einfache Teil! XLS Padlock erledigt die gesamte komplexe Befehlszeilenarbeit für Sie.

1. Stellen Sie sicher, dass Sie alle Konfigurationsschritte abgeschlossen haben und über eine aktive Azure-Sitzung aus az login verfügen.

2. Kompilieren Sie in XLS Padlock Ihre geschützte Arbeitsmappe wie gewohnt in eine .EXE-Anwendung.

Im Hintergrund ruft XLS Padlock automatisch SignTool.exe auf, übergibt die erforderlichen Parameter aus der Benutzeroberfläche und verwendet die Azure-Dlib-Erweiterung, um mit dem Cloud-Dienst zu kommunizieren.

👉 Die resultierende .EXE-Datei wird mit Ihrem vertrauenswürdigen Zertifikat digital signiert.

Überprüfen Sie Ihre Signatur: Klicken Sie nach dem Kompilieren mit der rechten Maustaste auf Ihre neue .EXE-Datei, wählen Sie Eigenschaften und gehen Sie zur Registerkarte Digitale Signaturen. Dort sollte Ihre Signatur aufgeführt sein. Dies ist die endgültige Bestätigung, dass der Vorgang funktioniert hat.

4. Fehlerbehebung und bewährte Vorgehensweisen

Falls Sie auf Probleme stoßen, finden Sie hier einige häufige Probleme und ihre Lösungen.

Hinweis

XLS Padlock speichert Signierfehler im Kompilierungsprotokoll (im selben Ordner wie die Quelldatei Ihrer Excel-Arbeitsmappe).

Häufige Probleme

• Fehler “SignTool.exe or Dlib not found”: Dies bedeutet, dass die Pfade in den Optionen von XLS Padlock falsch sind oder die Tools nicht ordnungsgemäß installiert wurden. Kehren Sie zu Abschnitt 1 zurück, um die Installationen zu überprüfen, und zu Abschnitt 2.A, um sicherzustellen, dass die Pfade korrekt sind.

• Authentifizierungs- oder Zugriffsverweigerungsfehler: Dies ist das häufigste Problem.

  • Stellen Sie sicher, dass Sie az login erfolgreich ausgeführt haben, bevor Sie kompilieren.

  • Vergewissern Sie sich, dass Sie sich mit dem Azure-Konto angemeldet haben, dem die Rolle “Trusted Signing Certificate Profile Signer” für das von Ihnen verwendete Zertifikatprofil zugewiesen ist. Diese Berechtigung ist obligatorisch.

  • Prüfen Sie, ob Ihr Azure-Abonnement aktiv ist.

• Falscher Endpunkt, Kontoname oder Profilname: Ein einfacher Tippfehler in diesen Feldern führt zum Fehlschlagen der Verbindung. Vergleichen Sie die in der XLS Padlock-Benutzeroberfläche eingegebenen Werte sorgfältig mit den tatsächlichen Werten in Ihrem Azure-Portal. Denken Sie daran, die korrekte regionale Endpunkt-URL zu verwenden.

• Identitätsprüfung unvollständig: Ihr Zertifikatprofil kann erst zum Signieren verwendet werden, wenn die verknüpfte Identitätsprüfung von Microsoft genehmigt wurde. Prüfen Sie deren Status im Azure-Portal.

• Firewall- oder Proxy-Sperren: Wenn Sie sich in einem Unternehmensnetzwerk befinden, blockiert möglicherweise eine Firewall die Verbindung zu *.codesigning.azure.net. Stellen Sie sicher, dass ausgehender HTTPS-Verkehr über Port 443 zu diesem Endpunkt zugelassen ist.

Bewährte Vorgehensweisen für den Erfolg

• Immer az login: Machen Sie es sich zur Gewohnheit, az login vor einer Signiersitzung auszuführen, besonders wenn längere Zeit vergangen ist.

• Tools aktuell halten: Prüfen Sie regelmäßig auf neue Versionen der Azure CLI, der Trusted Signing Client Tools und des Windows SDK.