Cómo usar Azure Trusted Signing con XLS Padlock: guía paso a paso

Por G.D.G. Software

En el entorno actual, consciente de la seguridad, distribuir sus aplicaciones de Excel compiladas con XLS Padlock requiere más que funcionalidad: exige confianza. Los archivos ejecutables sin firmar se encuentran con frecuencia con advertencias intimidantes de sistemas operativos como Windows Defender SmartScreen, lo que puede disuadir a los usuarios y minar la credibilidad de su trabajo.

Esta guía ofrece un tutorial paso a paso para desarrolladores que utilizan XLS Padlock para firmar digitalmente sus aplicaciones de Excel protegidas con el servicio Azure Trusted Signing de Microsoft, de costo asequible. Al hacerlo, le da a los usuarios la confianza de que su aplicación es auténtica y no ha sido manipulada.

Sugerencia

Tenga en cuenta que XLS Padlock también puede firmar digitalmente sus archivos EXE por otros medios además de Azure Trusted Signing.

Además, si no tiene ningún certificado de firma de código, aún puede elegir el formato EXE + aplicación XPLAPP Bundle en XLS Padlock. Así, su aplicación de Excel queda igualmente firmada y SmartScreen la reconoce como segura.

En este artículo, profundicemos en Azure Trusted Signing.

1. Lo esencial: requisitos previos para la firma

Antes de configurar XLS Padlock, es vital tener listos su entorno de Azure y sus herramientas locales. Este trabajo de base garantiza una integración fluida y previene errores comunes.

Su configuración de Azure Trusted Signing

Este proceso asume que dispone de un entorno de Azure Trusted Signing totalmente configurado. Este es el requisito previo más crucial e implica tres componentes clave en su portal de Azure:

• Cuenta de Trusted Signing: es su centro neurálgico en Azure para gestionar los perfiles de certificado. Su nombre debe ser único a nivel mundial.

• Perfil de certificado: creado dentro de su cuenta, este perfil define las propiedades del certificado. Para software distribuido al público, usará un perfil “Public Trust”.

• Validación de identidad: para los certificados Public Trust, Azure exige una validación exhaustiva de su identidad legal o la de su organización. Este proceso es esencial para establecer la fiabilidad de su firma y puede tardar algún tiempo en completarse.

¿Necesita ayuda con esta parte?

Configurar estos recursos de Azure es un proceso detallado. Consulte nuestro tutorial dedicado sobre cómo configurar una cuenta de Azure Trusted Signing antes de continuar.

Herramientas locales requeridas ⚙️

Necesitará tres piezas de software clave instaladas en su máquina de desarrollo para conectar XLS Padlock al servicio en la nube de Azure.

1. Microsoft Azure CLI: la interfaz de línea de comandos (CLI) de Azure es el puente que autentica su equipo con su cuenta de Azure. El comando az login es central en este proceso.

   • Acción: descargue e instale la Azure CLI desde la página oficial de Microsoft.

2. Microsoft Trusted Signing Client Tools: este paquete proporciona la biblioteca necesaria (Azure.CodeSigning.Dlib.dll) que permite a las herramientas de firma tradicionales comunicarse con el servicio en la nube de Azure.

   • Acción: descargue e instale las Trusted Signing Client Tools. Suelen instalarse en un directorio como C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\.

3. SignTool.exe: es la utilidad de línea de comandos estándar de Microsoft para aplicar firmas digitales a los archivos. Se incluye con el SDK de Windows.

   • Acción: descargue el último SDK de Windows. Durante la instalación, debe seleccionar el componente “Windows SDK Signing Tools for Desktop Apps”. Una ruta común para la herramienta es C:\Program Files (x86)\Windows Kits\10\bin\SDK_VERSION\x64\signtool.exe.

💡XLS Padlock comprueba la presencia de estas herramientas, por lo que una instalación correcta es el primer paso hacia el éxito.

2. Configurar XLS Padlock para la firma con Azure

Sentadas las bases, ahora puede indicar a XLS Padlock cómo usar estas herramientas y conectarse a su cuenta de Azure.

A. Definir las rutas de las herramientas en las opciones de XLS Padlock

Primero debe indicar a XLS Padlock dónde encontrar SignTool.exe y la extensión Dlib de Azure.

1. Abra XLS Padlock y vaya a la página Seguridad. Diríjase a EXE Code Signing.

2. Haga clic en el botón Global Preferences.

3. Introduzca las rutas de archivo completas de SignTool.exe y Azure.CodeSigning.Dlib.dll según el lugar donde los instaló en el paso anterior. Por ejemplo:

   • Ruta de SignTool.exe: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe (ajuste el número de versión según sea necesario).

   • Ruta de Azure.CodeSigning.Dlib.dll: C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\Azure.CodeSigning.Dlib.dll (reemplace YOUR_LOGIN por su nombre de usuario de Windows).

4. Valide con Close.

B. Habilitar Azure Trusted Signing para su aplicación

En la ventana principal de XLS Padlock, en la pestaña Seguridad, luego EXE Code Signing.

1. En el menú desplegable, elija “Use Azure Trusted Signing”.

2. Opcionalmente, marque la casilla para “automatically sign my EXE file”.

En esta fase, XLS Padlock usará las rutas que acaba de configurar para comprobar las herramientas requeridas. Debería ver un mensaje de confirmación, como una marca de verificación verde ✅, indicando que se encontraron SignTool.exe y la extensión Dlib. Si ve un error, vuelva a comprobar su instalación y las rutas que introdujo en las Global Preferences.

C. Introducir los datos de su cuenta de Azure 🔑

El último paso de configuración consiste en proporcionar sus credenciales específicas de Azure Trusted Signing. Estos campos conectan XLS Padlock directamente con su perfil de certificado.

• Trusted Signing Account Endpoint: es la URL específica de la región de su servicio Azure Trusted Signing. Puede encontrar esta URL en la página de información general de su Trusted Signing Account en el portal de Azure. Es crucial usar el punto de conexión regional correcto.

• Trusted Signing Account Name: es el nombre único que dio a su Trusted Signing Account cuando lo creó en Azure.

• Certificate Profile Name: es el nombre del perfil de certificado específico (por ejemplo, MyPublicTrustProfile) que pretende usar para firmar sus aplicaciones de XLS Padlock.

ℹ️ Rellenar con precisión estos tres campos es esencial para que la operación de firma tenga éxito.

3. Los pasos finales: autenticar y compilar

Con la configuración completada, el proceso de firma de su aplicación queda ahora estupendamente simplificado.

A. Autenticar su sesión con az login

Antes de compilar, debe autenticar su sesión actual de línea de comandos con Azure. Este no es un paso único. Los tokens de autenticación caducan, así que tendrá que hacerlo periódicamente.

1. Abra una herramienta de línea de comandos como Windows Terminal, PowerShell o el Símbolo del sistema.

2. Ejecute el comando: az login

3. Este comando abrirá su navegador web predeterminado y le pedirá que inicie sesión en la cuenta de Microsoft asociada a su suscripción de Azure Trusted Signing.

4. Una vez que inicie sesión correctamente, puede cerrar la pestaña del navegador. Su sesión de línea de comandos ya está autenticada.

XLS Padlock se apoya en esta sesión activa para realizar la firma. Si el proceso de firma falla con un error de autenticación, lo primero que debe comprobar es si necesita volver a ejecutar az login.

B. Compilar y firmar su libro de trabajo

¡Esta es la parte fácil! XLS Padlock gestiona por usted todo el complejo trabajo de línea de comandos.

1. Asegúrese de haber completado todos los pasos de configuración y de tener una sesión de Azure activa a partir de az login.

2. En XLS Padlock, compile su libro de trabajo protegido en una aplicación .EXE como lo haría normalmente.

Entre bastidores, XLS Padlock llamará automáticamente a SignTool.exe, pasándole los parámetros necesarios desde la interfaz y usando la extensión Dlib de Azure para comunicarse con el servicio en la nube.

👉 El archivo .EXE resultante quedará firmado digitalmente con su certificado de confianza.

Verifique su firma: tras compilar, haga clic derecho en su nuevo archivo .EXE, seleccione Propiedades y vaya a la pestaña Firmas digitales. Debería ver su firma en la lista. Esta es la confirmación definitiva de que el proceso funcionó.

4. Solución de problemas y buenas prácticas

Si encuentra problemas, aquí tiene algunos problemas comunes y sus soluciones.

Sugerencia

XLS Padlock almacena los errores de firma en el registro de compilación (en la misma carpeta que el archivo de origen de su libro de trabajo de Excel).

Problemas comunes

• Error “SignTool.exe or Dlib not found”: significa que las rutas en las opciones de XLS Padlock son incorrectas o que las herramientas no están instaladas correctamente. Vuelva a la sección 1 para verificar las instalaciones y a la sección 2.A para confirmar que las rutas son correctas.

• Errores de autenticación o acceso denegado: este es el problema más frecuente.

  • Asegúrese de haber ejecutado az login con éxito antes de intentar compilar.

  • Confirme que inició sesión con la cuenta de Azure que tiene asignado el rol “Trusted Signing Certificate Profile Signer” para el perfil de certificado que está usando. Este permiso es obligatorio.

  • Compruebe que su suscripción de Azure está activa.

• Punto de conexión, cuenta o nombre de perfil incorrectos: un simple error tipográfico en estos campos hará que la conexión falle. Compare con cuidado los valores introducidos en la interfaz de XLS Padlock con los valores reales de su portal de Azure. Recuerde usar la URL correcta del punto de conexión regional.

• Validación de identidad incompleta: su perfil de certificado no se puede usar para la firma hasta que Microsoft apruebe la validación de identidad vinculada. Compruebe su estado en el portal de Azure.

• Bloqueos de cortafuegos o proxy: si está en una red corporativa, un cortafuegos podría estar bloqueando la conexión a *.codesigning.azure.net. Asegúrese de que se permite el tráfico HTTPS saliente por el puerto 443 hacia este punto de conexión.

Buenas prácticas para tener éxito

• Siempre az login: acostúmbrese a ejecutar az login antes de una sesión de firma, sobre todo si ha pasado un tiempo.

• Mantenga las herramientas actualizadas: compruebe periódicamente si hay nuevas versiones de la Azure CLI, las Trusted Signing Client Tools y el SDK de Windows.