Azure Trusted Signing gebruiken met XLS Padlock: een stapsgewijze handleiding

Door G.D.G. Software

In de huidige, op beveiliging gerichte omgeving vereist het distribueren van uw met XLS Padlock gecompileerde Excel-toepassingen meer dan alleen functionaliteit: het vraagt om vertrouwen. Niet-ondertekende uitvoerbare bestanden worden vaak begroet met intimiderende waarschuwingen van besturingssystemen zoals Windows Defender SmartScreen, wat gebruikers kan afschrikken en de geloofwaardigheid van uw werk kan ondermijnen.

Deze handleiding biedt een stapsgewijze zelfstudie voor ontwikkelaars die XLS Padlock gebruiken om hun beveiligde Excel-toepassingen digitaal te ondertekenen met de kostenefficiënte Azure Trusted Signing-dienst van Microsoft. Zo geeft u gebruikers het vertrouwen dat uw toepassing authentiek is en niet is gemanipuleerd.

Hint

Merk op dat XLS Padlock uw EXE-bestanden ook digitaal kan ondertekenen met andere middelen dan Azure Trusted Signing.

Bovendien kunt u, als u helemaal geen code signing-certificaat hebt, nog steeds kiezen voor de indeling EXE + application XPLAPP Bundle in XLS Padlock. Zo wordt uw Excel-app toch ondertekend en door SmartScreen als veilig herkend.

Laten we in dit artikel dieper ingaan op Azure Trusted Signing.

1. De basis: vereisten voor het ondertekenen

Voordat we XLS Padlock configureren, is het essentieel dat uw Azure-omgeving en lokale hulpprogramma’s klaar zijn. Dit voorbereidende werk zorgt voor een soepele integratie en voorkomt veelvoorkomende fouten.

Uw Azure Trusted Signing-configuratie

Bij dit proces gaan we ervan uit dat u een volledig geconfigureerde Azure Trusted Signing-omgeving hebt. Dit is de meest cruciale vereiste en omvat drie belangrijke onderdelen in uw Azure-portal:

• Trusted Signing Account (account voor vertrouwd ondertekenen): Dit is uw centrale knooppunt in Azure voor het beheren van certificaatprofielen. De naam moet wereldwijd uniek zijn.

• Certificate Profile (certificaatprofiel): Dit profiel wordt binnen uw account gemaakt en bepaalt de eigenschappen van het certificaat. Voor software die aan het publiek wordt gedistribueerd, gebruikt u een “Public Trust”-profiel.

• Identity Validation (identiteitsvalidatie): Voor Public Trust-certificaten vereist Azure een grondige validatie van uw juridische identiteit of die van uw organisatie. Dit proces is essentieel om de betrouwbaarheid van uw handtekening vast te stellen en kan enige tijd in beslag nemen.

Hulp nodig bij dit onderdeel?

Het instellen van deze Azure-resources is een gedetailleerd proces. Raadpleeg onze specifieke zelfstudie over het opzetten van een Azure Trusted Signing-account voordat u verdergaat.

Vereiste lokale hulpprogramma’s ⚙️

U hebt drie belangrijke softwarepakketten nodig die op uw ontwikkelmachine zijn geïnstalleerd om XLS Padlock te verbinden met de cloudgebaseerde dienst van Azure.

1. Microsoft Azure CLI: De Azure Command-Line Interface (CLI) is de brug die uw computer authenticeert met uw Azure-account. De opdracht az login staat centraal in dit proces.

   • Actie: Download en installeer de Azure CLI vanaf de officiële pagina van Microsoft.

2. Microsoft Trusted Signing Client Tools: Dit pakket levert de benodigde bibliotheek (Azure.CodeSigning.Dlib.dll) waarmee traditionele ondertekeningshulpprogramma’s kunnen communiceren met de Azure-clouddienst.

   • Actie: Download en installeer de Trusted Signing Client Tools. Ze worden doorgaans geïnstalleerd in een map zoals C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\.

3. SignTool.exe: Dit is het standaard opdrachtregelhulpprogramma van Microsoft voor het toepassen van digitale handtekeningen op bestanden. Het is inbegrepen bij de Windows SDK.

   • Actie: Download de nieuwste Windows SDK. Tijdens de installatie moet u het onderdeel “Windows SDK Signing Tools for Desktop Apps” selecteren. Een veelvoorkomend pad voor het hulpprogramma is C:\Program Files (x86)\Windows Kits\10\bin\SDK_VERSION\x64\signtool.exe.

💡XLS Padlock controleert op de aanwezigheid van deze hulpprogramma’s, dus een correcte installatie is de eerste stap naar succes.

2. XLS Padlock configureren voor ondertekenen met Azure

Nu de basis is gelegd, kunt u XLS Padlock instructies geven over hoe deze hulpprogramma’s te gebruiken en verbinding te maken met uw Azure-account.

A. Stel de paden naar de hulpprogramma’s in bij de XLS Padlock-opties

Eerst moet u XLS Padlock vertellen waar het SignTool.exe en de Azure Dlib-extensie kan vinden.

1. Open XLS Padlock en ga naar de pagina Security (Beveiliging). Ga naar EXE Code Signing (EXE-codeondertekening).

2. Klik op de knop Global Preferences (Algemene voorkeuren).

3. Voer de volledige bestandspaden in voor SignTool.exe en Azure.CodeSigning.Dlib.dll, op basis van waar u ze in de vorige stap hebt geïnstalleerd. Bijvoorbeeld:

   • Pad naar SignTool.exe: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe (pas het versienummer aan waar nodig).

   • Pad naar Azure.CodeSigning.Dlib.dll: C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\Azure.CodeSigning.Dlib.dll (vervang YOUR_LOGIN door uw Windows-gebruikersnaam).

4. Bevestig met Close (Sluiten).

B. Schakel Azure Trusted Signing in voor uw toepassing

Ga in het hoofdvenster van XLS Padlock naar het tabblad Security (Beveiliging) en vervolgens naar EXE Code Signing (EXE-codeondertekening).

1. Kies in het vervolgkeuzemenu “Use Azure Trusted Signing” (Azure Trusted Signing gebruiken).

2. Schakel desgewenst het selectievakje “automatically sign my EXE file” (mijn EXE-bestand automatisch ondertekenen) in.

In dit stadium gebruikt XLS Padlock de paden die u zojuist hebt geconfigureerd om te controleren op de vereiste hulpprogramma’s. U zou een bevestigingsbericht moeten zien, zoals een groen vinkje ✅, dat aangeeft dat SignTool.exe en de Dlib-extensie zijn gevonden. Als u een foutmelding ziet, controleer dan uw installatie en de paden die u bij de Global Preferences hebt ingevoerd nogmaals.

C. Voer uw Azure-accountgegevens in 🔑

De laatste configuratiestap is het opgeven van uw specifieke Azure Trusted Signing-referenties. Deze velden verbinden XLS Padlock rechtstreeks met uw certificaatprofiel.

• Trusted Signing Account Endpoint (eindpunt van het account voor vertrouwd ondertekenen): Dit is de regiospecifieke URL voor uw Azure Trusted Signing-dienst. U vindt deze URL op de overzichtspagina van uw Trusted Signing Account in de Azure-portal. Het is cruciaal om het juiste regionale eindpunt te gebruiken.

• Trusted Signing Account Name (naam van het account voor vertrouwd ondertekenen): Dit is de unieke naam die u aan uw Trusted Signing Account hebt gegeven toen u het in Azure aanmaakte.

• Certificate Profile Name (naam van het certificaatprofiel): Dit is de naam van het specifieke certificaatprofiel (bijvoorbeeld MyPublicTrustProfile) dat u wilt gebruiken om uw XLS Padlock-toepassingen te ondertekenen.

ℹ️ Het nauwkeurig invullen van deze drie velden is essentieel voor een geslaagde ondertekening.

3. De laatste stappen: authenticeren en compileren

Nu de configuratie is voltooid, verloopt het ondertekenen van uw toepassing prachtig gestroomlijnd.

A. Authenticeer uw sessie met az login

Voordat u compileert, moet u uw huidige opdrachtregelsessie authenticeren met Azure. Dit is geen eenmalige stap. Authenticatietokens verlopen, dus u zult dit periodiek moeten doen.

1. Open een opdrachtregelhulpprogramma zoals Windows Terminal, PowerShell of Command Prompt.

2. Voer de opdracht uit: az login

3. Met deze opdracht wordt uw standaardwebbrowser gestart, waarin u wordt gevraagd zich aan te melden bij het Microsoft-account dat is gekoppeld aan uw Azure Trusted Signing-abonnement.

4. Zodra u zich met succes hebt aangemeld, kunt u het browsertabblad sluiten. Uw opdrachtregelsessie is nu geauthenticeerd.

XLS Padlock vertrouwt op deze actieve sessie om de ondertekening uit te voeren. Als het ondertekeningsproces mislukt met een authenticatiefout, is het eerste wat u moet controleren of u az login opnieuw moet uitvoeren.

B. Compileer en onderteken uw werkmap

Dit is het gemakkelijke deel! XLS Padlock handelt al het complexe opdrachtregelwerk voor u af.

1. Zorg ervoor dat u alle configuratiestappen hebt voltooid en dat u een actieve Azure-sessie hebt via az login.

2. Compileer in XLS Padlock uw beveiligde werkmap zoals gebruikelijk tot een .EXE-toepassing.

Achter de schermen roept XLS Padlock automatisch SignTool.exe aan, geeft het de benodigde parameters vanuit de UI door en gebruikt het de Azure Dlib-extensie om met de clouddienst te communiceren.

👉 Het resulterende .EXE-bestand wordt digitaal ondertekend met uw vertrouwde certificaat.

Controleer uw handtekening: Klik na het compileren met de rechtermuisknop op uw nieuwe .EXE-bestand, selecteer Properties (Eigenschappen) en ga naar het tabblad Digital Signatures (Digitale handtekeningen). U zou uw handtekening in de lijst moeten zien staan. Dit is de definitieve bevestiging dat het proces is geslaagd.

4. Probleemoplossing en best practices

Als u problemen ondervindt, volgen hier enkele veelvoorkomende problemen en hun oplossingen.

Hint

XLS Padlock slaat ondertekeningsfouten op in het compilatielogboek (in dezelfde map als het bronbestand van uw Excel-werkmap).

Veelvoorkomende problemen

• Fout “SignTool.exe or Dlib not found”: Dit betekent dat de paden in de opties van XLS Padlock onjuist zijn of dat de hulpprogramma’s niet correct zijn geïnstalleerd. Bekijk Sectie 1 opnieuw om de installaties te controleren en Sectie 2.A om te bevestigen dat de paden juist zijn.

• Authenticatie- of Access Denied-fouten: Dit is het meest voorkomende probleem.

  • Zorg ervoor dat u az login met succes hebt uitgevoerd voordat u probeert te compileren.

  • Bevestig dat u zich hebt aangemeld met het Azure-account waaraan de rol “Trusted Signing Certificate Profile Signer” is toegewezen voor het certificaatprofiel dat u gebruikt. Deze machtiging is verplicht.

  • Controleer of uw Azure-abonnement actief is.

• Onjuist eindpunt, account of profielnaam: Een eenvoudige typefout in deze velden zorgt ervoor dat de verbinding mislukt. Vergelijk de in de XLS Padlock-UI ingevoerde waarden zorgvuldig met de werkelijke waarden in uw Azure-portal. Vergeet niet de juiste regionale eindpunt-URL te gebruiken.

• Identiteitsvalidatie niet voltooid: Uw certificaatprofiel kan niet worden gebruikt voor ondertekening totdat de gekoppelde identiteitsvalidatie door Microsoft is goedgekeurd. Controleer de status ervan in de Azure-portal.

• Blokkades door firewall of proxy: Als u zich op een bedrijfsnetwerk bevindt, blokkeert een firewall mogelijk de verbinding met *.codesigning.azure.net. Zorg ervoor dat uitgaand HTTPS-verkeer op poort 443 naar dit eindpunt is toegestaan.

Best practices voor succes

• Altijd az login: Maak er een gewoonte van om az login uit te voeren vóór een ondertekeningssessie, vooral als het al een tijdje geleden is.

• Houd de hulpprogramma’s bijgewerkt: Controleer regelmatig op nieuwe versies van de Azure CLI, de Trusted Signing Client Tools en de Windows SDK.