Comment utiliser Azure Trusted Signing avec XLS Padlock : guide étape par étape

Par G.D.G. Software

Dans l’environnement actuel soucieux de la sécurité, distribuer vos applications Excel compilées avec XLS Padlock exige plus que de la simple fonctionnalité : cela demande de la confiance. Les fichiers exécutables non signés déclenchent fréquemment des avertissements intimidants de la part des systèmes d’exploitation comme Windows Defender SmartScreen, ce qui peut décourager les utilisateurs et nuire à la crédibilité de votre travail.

Ce guide propose un tutoriel étape par étape destiné aux développeurs qui utilisent XLS Padlock pour signer numériquement leurs applications Excel protégées avec le service Azure Trusted Signing de Microsoft, à coût avantageux. Ce faisant, vous donnez aux utilisateurs l’assurance que votre application est authentique et n’a pas été altérée.

Astuce

Notez que XLS Padlock peut aussi signer numériquement vos fichiers EXE par d’autres moyens qu’Azure Trusted Signing.

De plus, si vous n’avez aucun certificat de signature de code, vous pouvez tout de même choisir le format EXE + application XPLAPP Bundle dans XLS Padlock. Ainsi, votre application Excel est tout de même signée et reconnue comme sûre par SmartScreen.

Dans cet article, plongeons dans Azure Trusted Signing.

1. L’essentiel : prérequis pour la signature

Avant de configurer XLS Padlock, il est vital d’avoir votre environnement Azure et vos outils locaux prêts. Ce travail de fond garantit une intégration fluide et prévient les erreurs courantes.

Votre configuration Azure Trusted Signing

Ce processus suppose que vous disposez d’un environnement Azure Trusted Signing entièrement configuré. C’est le prérequis le plus crucial et il implique trois composants clés dans votre portail Azure :

• Compte Trusted Signing : c’est votre centre névralgique dans Azure pour gérer les profils de certificat. Son nom doit être unique au niveau mondial.

• Profil de certificat : créé au sein de votre compte, ce profil définit les propriétés du certificat. Pour un logiciel distribué au public, vous utiliserez un profil “Public Trust”.

• Validation d’identité : pour les certificats Public Trust, Azure exige une validation approfondie de votre identité légale ou de celle de votre organisation. Ce processus est essentiel pour établir la fiabilité de votre signature et peut prendre un certain temps à se finaliser.

Besoin d’aide pour cette partie ?

La mise en place de ces ressources Azure est un processus détaillé. Veuillez consulter notre tutoriel dédié sur la configuration d’un compte Azure Trusted Signing avant de poursuivre.

Outils locaux requis ⚙️

Vous aurez besoin de trois logiciels clés installés sur votre machine de développement pour connecter XLS Padlock au service cloud d’Azure.

1. Microsoft Azure CLI : l’interface en ligne de commande (CLI) d’Azure est le pont qui authentifie votre ordinateur auprès de votre compte Azure. La commande az login est centrale dans ce processus.

   • Action : téléchargez et installez l’Azure CLI depuis la page officielle de Microsoft.

2. Microsoft Trusted Signing Client Tools : ce package fournit la bibliothèque nécessaire (Azure.CodeSigning.Dlib.dll) qui permet aux outils de signature traditionnels de communiquer avec le service cloud Azure.

   • Action : téléchargez et installez les Trusted Signing Client Tools. Ils sont généralement installés dans un répertoire comme C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\.

3. SignTool.exe : c’est l’utilitaire en ligne de commande standard de Microsoft pour appliquer des signatures numériques aux fichiers. Il est inclus avec le SDK Windows.

   • Action : téléchargez le dernier SDK Windows. Lors de l’installation, vous devez sélectionner le composant “Windows SDK Signing Tools for Desktop Apps”. Un chemin courant pour l’outil est C:\Program Files (x86)\Windows Kits\10\bin\SDK_VERSION\x64\signtool.exe.

💡XLS Padlock vérifie la présence de ces outils, une installation correcte est donc la première étape vers la réussite.

2. Configurer XLS Padlock pour la signature Azure

Une fois les bases posées, vous pouvez désormais indiquer à XLS Padlock comment utiliser ces outils et se connecter à votre compte Azure.

A. Définir les chemins des outils dans les options de XLS Padlock

Vous devez d’abord indiquer à XLS Padlock où trouver SignTool.exe et l’extension Dlib d’Azure.

1. Ouvrez XLS Padlock et accédez à la page Sécurité. Allez dans EXE Code Signing.

2. Cliquez sur le bouton Global Preferences.

3. Saisissez les chemins de fichier complets de SignTool.exe et de Azure.CodeSigning.Dlib.dll en fonction de l’endroit où vous les avez installés à l’étape précédente. Par exemple :

   • Chemin de SignTool.exe : C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe (ajustez le numéro de version au besoin).

   • Chemin de Azure.CodeSigning.Dlib.dll : C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\Azure.CodeSigning.Dlib.dll (remplacez YOUR_LOGIN par votre nom d’utilisateur Windows).

4. Validez avec Close.

B. Activer Azure Trusted Signing pour votre application

Dans la fenêtre principale de XLS Padlock, sur l’onglet Sécurité, puis EXE Code Signing.

1. Dans le menu déroulant, choisissez “Use Azure Trusted Signing”.

2. Vous pouvez aussi cocher la case pour “automatically sign my EXE file”.

À ce stade, XLS Padlock utilisera les chemins que vous venez de configurer pour vérifier la présence des outils requis. Vous devriez voir un message de confirmation, comme une coche verte ✅, indiquant que SignTool.exe et l’extension Dlib ont été trouvés. Si vous voyez une erreur, vérifiez à nouveau votre installation et les chemins que vous avez saisis dans les Global Preferences.

C. Saisir les détails de votre compte Azure 🔑

La dernière étape de configuration consiste à fournir vos identifiants Azure Trusted Signing spécifiques. Ces champs connectent XLS Padlock directement à votre profil de certificat.

• Trusted Signing Account Endpoint : c’est l’URL spécifique à la région pour votre service Azure Trusted Signing. Vous trouverez cette URL sur la page de présentation de votre Trusted Signing Account dans le portail Azure. Il est crucial d’utiliser le bon point de terminaison régional.

• Trusted Signing Account Name : c’est le nom unique que vous avez donné à votre Trusted Signing Account lors de sa création dans Azure.

• Certificate Profile Name : c’est le nom du profil de certificat spécifique (par exemple, MyPublicTrustProfile) que vous comptez utiliser pour signer vos applications XLS Padlock.

ℹ️ Remplir précisément ces trois champs est essentiel pour que l’opération de signature réussisse.

3. Les dernières étapes : authentifier et compiler

Une fois la configuration terminée, le processus de signature de votre application est désormais merveilleusement simplifié.

A. Authentifier votre session avec az login

Avant de compiler, vous devez authentifier votre session actuelle en ligne de commande auprès d’Azure. Ce n’est pas une étape unique. Les jetons d’authentification expirent, vous devrez donc le faire périodiquement.

1. Ouvrez un outil en ligne de commande comme Windows Terminal, PowerShell ou l’invite de commandes.

2. Exécutez la commande : az login

3. Cette commande lancera votre navigateur web par défaut et vous demandera de vous connecter au compte Microsoft associé à votre abonnement Azure Trusted Signing.

4. Une fois connecté avec succès, vous pouvez fermer l’onglet du navigateur. Votre session en ligne de commande est désormais authentifiée.

XLS Padlock s’appuie sur cette session active pour effectuer la signature. Si le processus de signature échoue avec une erreur d’authentification, la première chose à vérifier est de savoir si vous devez relancer az login.

B. Compiler et signer votre classeur

C’est la partie facile ! XLS Padlock gère pour vous tout le travail complexe en ligne de commande.

1. Assurez-vous d’avoir terminé toutes les étapes de configuration et d’avoir une session Azure active issue de az login.

2. Dans XLS Padlock, compilez votre classeur protégé en une application .EXE comme vous le feriez normalement.

En coulisses, XLS Padlock appellera automatiquement SignTool.exe, en transmettant les paramètres nécessaires depuis l’interface et en utilisant l’extension Dlib d’Azure pour communiquer avec le service cloud.

👉 Le fichier .EXE résultant sera signé numériquement avec votre certificat de confiance.

Vérifiez votre signature : après la compilation, faites un clic droit sur votre nouveau fichier .EXE, sélectionnez Propriétés, et allez dans l’onglet Signatures numériques. Vous devriez y voir votre signature. C’est la confirmation ultime que le processus a fonctionné.

4. Dépannage et bonnes pratiques

Si vous rencontrez des problèmes, voici quelques problèmes courants et leurs solutions.

Astuce

XLS Padlock stocke les erreurs de signature dans le journal de compilation (dans le même dossier que votre fichier source de classeur Excel).

Problèmes courants

• Erreur “SignTool.exe or Dlib not found” : cela signifie que les chemins dans les options de XLS Padlock sont incorrects ou que les outils ne sont pas correctement installés. Revisitez la section 1 pour vérifier les installations et la section 2.A pour confirmer que les chemins sont corrects.

• Erreurs d’authentification ou d’accès refusé : c’est le problème le plus fréquent.

  • Assurez-vous d’avoir exécuté az login avec succès avant d’essayer de compiler.

  • Confirmez que vous vous êtes connecté avec le compte Azure auquel est attribué le rôle “Trusted Signing Certificate Profile Signer” pour le profil de certificat que vous utilisez. Cette autorisation est obligatoire.

  • Vérifiez que votre abonnement Azure est actif.

• Point de terminaison, compte ou nom de profil incorrect : une simple faute de frappe dans ces champs fera échouer la connexion. Comparez attentivement les valeurs saisies dans l’interface de XLS Padlock avec les valeurs réelles de votre portail Azure. N’oubliez pas d’utiliser la bonne URL de point de terminaison régional.

• Validation d’identité incomplète : votre profil de certificat ne peut pas être utilisé pour la signature tant que la validation d’identité associée n’a pas été approuvée par Microsoft. Vérifiez son statut dans le portail Azure.

• Blocages par pare-feu ou proxy : si vous êtes sur un réseau d’entreprise, un pare-feu pourrait bloquer la connexion à *.codesigning.azure.net. Assurez-vous que le trafic HTTPS sortant sur le port 443 est autorisé vers ce point de terminaison.

Bonnes pratiques pour réussir

• Toujours az login : prenez l’habitude d’exécuter az login avant une session de signature, surtout si un certain temps s’est écoulé.

• Gardez vos outils à jour : vérifiez périodiquement les nouvelles versions de l’Azure CLI, des Trusted Signing Client Tools et du SDK Windows.