Come usare Azure Trusted Signing con XLS Padlock: guida passo passo

Di G.D.G. Software

Nell’attuale contesto attento alla sicurezza, distribuire le applicazioni Excel compilate con XLS Padlock richiede molto più della semplice funzionalità: richiede fiducia. I file eseguibili non firmati vengono spesso accolti da avvisi intimidatori da parte di sistemi operativi come Windows Defender SmartScreen, con il rischio di scoraggiare gli utenti e di compromettere la credibilità del proprio lavoro.

Questa guida fornisce un tutorial passo passo per gli sviluppatori che usano XLS Padlock per firmare digitalmente le proprie applicazioni Excel protette con Azure Trusted Signing, il servizio economico di Microsoft. In questo modo si dà agli utenti la certezza che l’applicazione è autentica e non è stata manomessa.

Suggerimento

Tenga presente che XLS Padlock può anche firmare digitalmente i file EXE con mezzi diversi da Azure Trusted Signing.

Inoltre, se non si dispone di alcun certificato di firma del codice, è comunque possibile scegliere il formato EXE + Bundle applicazione XPLAPP in XLS Padlock. In questo modo l’applicazione Excel risulta comunque firmata e riconosciuta come sicura da SmartScreen.

In questo articolo approfondiamo Azure Trusted Signing.

1. Gli elementi essenziali: prerequisiti per la firma

Prima di configurare XLS Padlock, è fondamentale predisporre l’ambiente Azure e gli strumenti locali. Questo lavoro preparatorio garantisce un’integrazione senza intoppi ed evita gli errori più comuni.

La configurazione di Azure Trusted Signing

Questa procedura presuppone che si disponga di un ambiente Azure Trusted Signing completamente configurato. Si tratta del prerequisito più importante e coinvolge tre componenti chiave nel portale Azure:

• Trusted Signing Account: è l’hub centrale in Azure per la gestione dei profili di certificato. Il suo nome deve essere univoco a livello globale.

• Certificate Profile: creato all’interno dell’account, questo profilo definisce le proprietà del certificato. Per il software distribuito al pubblico, si utilizza un profilo “Public Trust”.

• Identity Validation: per i certificati Public Trust, Azure richiede una verifica approfondita dell’identità legale propria o della propria organizzazione. Questo processo è essenziale per stabilire l’affidabilità della firma e può richiedere del tempo per essere completato.

Serve aiuto con questa parte?

La configurazione di queste risorse Azure è un processo dettagliato. Prima di procedere, consulti il nostro tutorial dedicato su come configurare un account Azure Trusted Signing.

Strumenti locali necessari ⚙️

Servono tre componenti software chiave installati sulla macchina di sviluppo per collegare XLS Padlock al servizio cloud di Azure.

1. Microsoft Azure CLI: l’interfaccia a riga di comando (CLI) di Azure è il ponte che autentica il computer con l’account Azure. Il comando az login è centrale in questo processo.

   • Azione: scarichi e installi la Azure CLI dalla pagina ufficiale di Microsoft.

2. Microsoft Trusted Signing Client Tools: questo pacchetto fornisce la libreria necessaria (Azure.CodeSigning.Dlib.dll) che consente agli strumenti di firma tradizionali di comunicare con il servizio cloud di Azure.

   • Azione: scarichi e installi i Trusted Signing Client Tools. Vengono in genere installati in una directory come C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\.

3. SignTool.exe: è l’utility standard a riga di comando di Microsoft per applicare firme digitali ai file. È inclusa nel Windows SDK.

   • Azione: scarichi il Windows SDK più recente. Durante l’installazione, deve selezionare il componente “Windows SDK Signing Tools for Desktop Apps”. Un percorso comune per lo strumento è C:\Program Files (x86)\Windows Kits\10\bin\SDK_VERSION\x64\signtool.exe.

💡XLS Padlock verifica la presenza di questi strumenti, quindi una corretta installazione è il primo passo verso il successo.

2. Configurare XLS Padlock per la firma con Azure

Predisposte le basi, è ora possibile indicare a XLS Padlock come usare questi strumenti e collegarsi all’account Azure.

A. Impostare i percorsi degli strumenti nelle opzioni di XLS Padlock

Per prima cosa, occorre indicare a XLS Padlock dove trovare SignTool.exe e l’estensione Azure Dlib.

1. Apra XLS Padlock e si rechi alla pagina Security (Sicurezza). Vada in EXE Code Signing (firma del codice EXE).

2. Faccia clic sul pulsante Global Preferences (preferenze globali).

3. Inserisca i percorsi completi dei file SignTool.exe e Azure.CodeSigning.Dlib.dll in base alla posizione in cui sono stati installati nel passaggio precedente. Ad esempio:

   • Percorso di SignTool.exe: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe (adatti il numero di versione secondo necessità).

   • Percorso di Azure.CodeSigning.Dlib.dll: C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\Azure.CodeSigning.Dlib.dll (sostituisca YOUR_LOGIN con il proprio nome utente di Windows).

4. Confermi con Close (chiudi).

B. Abilitare Azure Trusted Signing per la propria applicazione

Nella finestra principale di XLS Padlock, nella scheda Security (Sicurezza), quindi EXE Code Signing (firma del codice EXE).

1. Dal menu a discesa, scelga “Use Azure Trusted Signing” (usa Azure Trusted Signing).

2. Facoltativamente, spunti la casella “automatically sign my EXE file” (firma automaticamente il mio file EXE).

A questo punto, XLS Padlock userà i percorsi appena configurati per verificare la presenza degli strumenti necessari. Dovrebbe comparire un messaggio di conferma, come un segno di spunta verde ✅, a indicare che SignTool.exe e l’estensione Dlib sono stati trovati. Se compare un errore, ricontrolli l’installazione e i percorsi inseriti nelle Global Preferences.

C. Inserire i dettagli del proprio account Azure 🔑

L’ultimo passaggio di configurazione consiste nel fornire le proprie credenziali specifiche di Azure Trusted Signing. Questi campi collegano XLS Padlock direttamente al profilo di certificato.

• Trusted Signing Account Endpoint: è l’URL specifico per la regione del servizio Azure Trusted Signing. È possibile trovare questo URL nella pagina di panoramica del Trusted Signing Account nel portale Azure. È fondamentale usare l’endpoint regionale corretto.

• Trusted Signing Account Name: è il nome univoco assegnato al Trusted Signing Account al momento della sua creazione in Azure.

• Certificate Profile Name: è il nome dello specifico profilo di certificato (ad esempio MyPublicTrustProfile) che si intende usare per firmare le applicazioni XLS Padlock.

ℹ️ Compilare accuratamente questi tre campi è essenziale affinché l’operazione di firma vada a buon fine.

3. I passaggi finali: autenticazione e compilazione

Completata la configurazione, il processo di firma dell’applicazione risulta ora notevolmente semplificato.

A. Autenticare la sessione con az login

Prima di compilare, occorre autenticare la sessione corrente della riga di comando con Azure. Non si tratta di un passaggio da effettuare una sola volta. I token di autenticazione scadono, quindi sarà necessario ripetere questa operazione periodicamente.

1. Apra uno strumento a riga di comando come Windows Terminal, PowerShell o Command Prompt.

2. Esegua il comando: az login

3. Questo comando avvierà il browser predefinito, chiedendo di accedere all’account Microsoft associato all’abbonamento Azure Trusted Signing.

4. Una volta effettuato l’accesso con successo, può chiudere la scheda del browser. La sessione a riga di comando è ora autenticata.

XLS Padlock si affida a questa sessione attiva per eseguire la firma. Se il processo di firma fallisce con un errore di autenticazione, la prima cosa da verificare è se occorre rieseguire az login.

B. Compilare e firmare la cartella di lavoro

Questa è la parte facile! XLS Padlock si occupa per Lei di tutto il complesso lavoro a riga di comando.

1. Si assicuri di aver completato tutti i passaggi di configurazione e di avere una sessione Azure attiva tramite az login.

2. In XLS Padlock, compili la cartella di lavoro protetta in un’applicazione .EXE come farebbe normalmente.

Dietro le quinte, XLS Padlock chiamerà automaticamente SignTool.exe, passando i parametri necessari dall’interfaccia e usando l’estensione Azure Dlib per comunicare con il servizio cloud.

👉 Il file .EXE risultante sarà firmato digitalmente con il proprio certificato attendibile.

Verifichi la firma: dopo la compilazione, faccia clic con il pulsante destro del mouse sul nuovo file .EXE, selezioni Properties (Proprietà) e si rechi alla scheda Digital Signatures (firme digitali). Dovrebbe vedere la firma elencata. È la conferma definitiva che il processo ha funzionato.

4. Risoluzione dei problemi e buone pratiche

In caso di problemi, ecco alcune difficoltà comuni e le relative soluzioni.

Suggerimento

XLS Padlock memorizza gli errori di firma nel log di compilazione (nella stessa cartella del file sorgente della cartella di lavoro Excel).

Problemi comuni

• Errore “SignTool.exe or Dlib not found”: significa che i percorsi nelle opzioni di XLS Padlock non sono corretti o che gli strumenti non sono installati correttamente. Riveda la Sezione 1 per verificare le installazioni e la Sezione 2.A per confermare che i percorsi siano corretti.

• Errori di autenticazione o di accesso negato: è il problema più frequente.

  • Si assicuri di aver eseguito correttamente az login prima di tentare la compilazione.

  • Confermi di aver effettuato l’accesso con l’account Azure a cui è assegnato il ruolo “Trusted Signing Certificate Profile Signer” per il profilo di certificato in uso. Questa autorizzazione è obbligatoria.

  • Verifichi che l’abbonamento Azure sia attivo.

• Endpoint, nome account o nome profilo errato: un semplice errore di battitura in questi campi farà fallire la connessione. Confronti con attenzione i valori inseriti nell’interfaccia di XLS Padlock con i valori effettivi presenti nel portale Azure. Ricordi di usare l’URL dell’endpoint regionale corretto.

• Verifica dell’identità incompleta: il profilo di certificato non può essere usato per la firma finché la verifica dell’identità collegata non viene approvata da Microsoft. Ne controlli lo stato nel portale Azure.

• Blocchi del firewall o del proxy: se si trova su una rete aziendale, un firewall potrebbe bloccare la connessione a *.codesigning.azure.net. Si assicuri che il traffico HTTPS in uscita sulla porta 443 sia consentito verso questo endpoint.

Buone pratiche per il successo

• Esegua sempre az login: prenda l’abitudine di eseguire az login prima di una sessione di firma, soprattutto se è passato del tempo.

• Mantenga aggiornati gli strumenti: controlli periodicamente la disponibilità di nuove versioni della Azure CLI, dei Trusted Signing Client Tools e del Windows SDK.