Como usar o Azure Trusted Signing com o XLS Padlock: um guia passo a passo

Por G.D.G. Software

No ambiente atual, em que a segurança é uma preocupação constante, distribuir suas aplicações Excel compiladas com o XLS Padlock exige mais do que apenas funcionalidade: exige confiança. Arquivos executáveis não assinados frequentemente recebem avisos intimidadores de sistemas operacionais como o Windows Defender SmartScreen, o que pode afastar usuários e prejudicar a credibilidade do seu trabalho.

Este guia oferece um tutorial passo a passo para desenvolvedores que usam o XLS Padlock para assinar digitalmente suas aplicações Excel protegidas com o serviço Azure Trusted Signing da Microsoft, com excelente custo-benefício. Ao fazer isso, você dá aos usuários a confiança de que sua aplicação é autêntica e não foi adulterada.

Dica

Observe que o XLS Padlock também pode assinar digitalmente seus arquivos EXE por outros meios além do Azure Trusted Signing.

Além disso, se você não tiver nenhum certificado de assinatura de código, ainda assim pode escolher o formato EXE + pacote de aplicação XPLAPP no XLS Padlock. Dessa forma, sua aplicação Excel continua assinada e reconhecida como segura pelo SmartScreen.

Neste artigo, vamos nos aprofundar no Azure Trusted Signing.

1. O essencial: pré-requisitos para a assinatura

Antes de configurarmos o XLS Padlock, é fundamental ter seu ambiente Azure e suas ferramentas locais prontos. Esse trabalho de base garante uma integração tranquila e evita erros comuns.

Sua configuração do Azure Trusted Signing

Este processo pressupõe que você tenha um ambiente Azure Trusted Signing totalmente configurado. Esse é o pré-requisito mais importante e envolve três componentes principais no seu portal do Azure:

• Trusted Signing Account (conta de assinatura confiável): este é o seu hub central no Azure para gerenciar perfis de certificado. O nome dela deve ser globalmente único.

• Certificate Profile (perfil de certificado): criado dentro da sua conta, esse perfil define as propriedades do certificado. Para software distribuído ao público, você usará um perfil “Public Trust” (confiança pública).

• Identity Validation (validação de identidade): para certificados Public Trust, o Azure exige uma validação minuciosa da identidade legal sua ou da sua organização. Esse processo é essencial para estabelecer a confiabilidade da sua assinatura e pode levar algum tempo para ser concluído.

Precisa de ajuda nesta parte?

Configurar esses recursos do Azure é um processo detalhado. Antes de prosseguir, consulte nosso tutorial dedicado sobre como configurar uma conta do Azure Trusted Signing.

Ferramentas locais necessárias ⚙️

Você precisará de três softwares essenciais instalados na sua máquina de desenvolvimento para conectar o XLS Padlock ao serviço em nuvem do Azure.

1. Microsoft Azure CLI: a Interface de Linha de Comando (CLI) do Azure é a ponte que autentica seu computador na sua conta do Azure. O comando az login é central nesse processo.

   • Ação: Baixe e instale a Azure CLI a partir da página oficial da Microsoft.

2. Microsoft Trusted Signing Client Tools: este pacote fornece a biblioteca necessária (Azure.CodeSigning.Dlib.dll) que permite que ferramentas de assinatura tradicionais se comuniquem com o serviço em nuvem do Azure.

   • Ação: Baixe e instale as Trusted Signing Client Tools. Elas costumam ser instaladas em um diretório como C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\.

3. SignTool.exe: este é o utilitário padrão de linha de comando da Microsoft para aplicar assinaturas digitais a arquivos. Ele está incluído no Windows SDK.

   • Ação: Baixe o Windows SDK mais recente. Durante a instalação, você deve selecionar o componente “Windows SDK Signing Tools for Desktop Apps”. Um caminho comum para a ferramenta é C:\Program Files (x86)\Windows Kits\10\bin\SDK_VERSION\x64\signtool.exe.

💡O XLS Padlock verifica a presença dessas ferramentas, portanto a instalação correta é o primeiro passo para o sucesso.

2. Configurando o XLS Padlock para a assinatura com o Azure

Com a base preparada, agora você pode instruir o XLS Padlock sobre como usar essas ferramentas e conectar-se à sua conta do Azure.

A. Defina os caminhos das ferramentas nas opções do XLS Padlock

Primeiro, você deve informar ao XLS Padlock onde encontrar o SignTool.exe e a extensão Azure Dlib.

1. Abra o XLS Padlock e navegue até a página Security (Segurança). Vá para EXE Code Signing (Assinatura de Código do EXE).

2. Clique no botão Global Preferences (Preferências Globais).

3. Insira os caminhos completos dos arquivos para o SignTool.exe e o Azure.CodeSigning.Dlib.dll com base em onde você os instalou na etapa anterior. Por exemplo:

   • Caminho do SignTool.exe: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe (ajuste o número da versão conforme necessário).

   • Caminho do Azure.CodeSigning.Dlib.dll: C:\Users\YOUR_LOGIN\AppData\Local\Microsoft\MicrosoftTrustedSigningClientTools\Azure.CodeSigning.Dlib.dll (substitua YOUR_LOGIN pelo seu nome de usuário do Windows).

4. Confirme com Close (Fechar).

B. Habilite o Azure Trusted Signing para sua aplicação

Na janela principal do XLS Padlock, na aba Security (Segurança) e depois em EXE Code Signing (Assinatura de Código do EXE).

1. No menu suspenso, escolha “Use Azure Trusted Signing” (Usar o Azure Trusted Signing).

2. Opcionalmente, marque a caixa “automatically sign my EXE file” (assinar automaticamente meu arquivo EXE).

Nesta etapa, o XLS Padlock usará os caminhos que você acabou de configurar para verificar as ferramentas necessárias. Você verá uma mensagem de confirmação, como uma marca de seleção verde ✅, indicando que o SignTool.exe e a extensão Dlib foram encontrados. Se você vir um erro, verifique novamente a instalação e os caminhos que inseriu em Global Preferences (Preferências Globais).

C. Insira os detalhes da sua conta do Azure 🔑

A etapa final da configuração é fornecer suas credenciais específicas do Azure Trusted Signing. Esses campos conectam o XLS Padlock diretamente ao seu perfil de certificado.

• Trusted Signing Account Endpoint (endpoint da conta de assinatura confiável): esta é a URL específica da região do seu serviço Azure Trusted Signing. Você pode encontrar essa URL na página de visão geral da sua Trusted Signing Account no portal do Azure. É fundamental usar o endpoint regional correto.

• Trusted Signing Account Name (nome da conta de assinatura confiável): este é o nome único que você deu à sua Trusted Signing Account quando a criou no Azure.

• Certificate Profile Name (nome do perfil de certificado): este é o nome do perfil de certificado específico (por exemplo, MyPublicTrustProfile) que você pretende usar para assinar suas aplicações do XLS Padlock.

ℹ️ Preencher esses três campos com precisão é essencial para que a operação de assinatura seja bem-sucedida.

3. As etapas finais: autenticar e compilar

Com a configuração concluída, o processo de assinatura da sua aplicação fica agora muito simplificado.

A. Autentique sua sessão com az login

Antes de compilar, você deve autenticar sua sessão atual de linha de comando no Azure. Esta não é uma etapa única. Os tokens de autenticação expiram, então você precisará fazer isso periodicamente.

1. Abra uma ferramenta de linha de comando como o Windows Terminal, o PowerShell ou o Prompt de Comando.

2. Execute o comando: az login

3. Esse comando abrirá seu navegador web padrão, pedindo que você faça login na conta Microsoft associada à sua assinatura do Azure Trusted Signing.

4. Depois de fazer login com sucesso, você pode fechar a aba do navegador. Sua sessão de linha de comando agora está autenticada.

O XLS Padlock depende dessa sessão ativa para realizar a assinatura. Se o processo de assinatura falhar com um erro de autenticação, a primeira coisa a verificar é se você precisa executar novamente o az login.

B. Compile e assine sua planilha

Esta é a parte fácil! O XLS Padlock cuida de todo o trabalho complexo de linha de comando para você.

1. Certifique-se de ter concluído todas as etapas de configuração e de ter uma sessão ativa do Azure por meio do az login.

2. No XLS Padlock, compile sua planilha protegida em uma aplicação .EXE como faria normalmente.

Nos bastidores, o XLS Padlock chamará automaticamente o SignTool.exe, passando os parâmetros necessários a partir da interface e usando a extensão Azure Dlib para se comunicar com o serviço em nuvem.

👉 O arquivo .EXE resultante será assinado digitalmente com seu certificado confiável.

Verifique sua assinatura: após compilar, clique com o botão direito no seu novo arquivo .EXE, selecione Propriedades e vá para a aba Assinaturas Digitais. Você verá sua assinatura listada. Esta é a confirmação definitiva de que o processo funcionou.

4. Solução de problemas e melhores práticas

Se você encontrar problemas, aqui estão alguns problemas comuns e suas soluções.

Dica

O XLS Padlock armazena os erros de assinatura no log de compilação (na mesma pasta do arquivo de origem da sua planilha do Excel).

Problemas comuns

• Erro “SignTool.exe or Dlib not found”: isso significa que os caminhos nas opções do XLS Padlock estão incorretos ou que as ferramentas não foram instaladas corretamente. Revisite a Seção 1 para verificar as instalações e a Seção 2.A para confirmar que os caminhos estão corretos.

• Erros de autenticação ou de acesso negado: este é o problema mais frequente.

  • Certifique-se de ter executado o az login com sucesso antes de tentar compilar.

  • Confirme que você fez login com a conta do Azure que tem a função “Trusted Signing Certificate Profile Signer” atribuída para o perfil de certificado que você está usando. Essa permissão é obrigatória.

  • Verifique se sua assinatura do Azure está ativa.

• Endpoint, conta ou nome de perfil incorretos: um simples erro de digitação nesses campos fará a conexão falhar. Compare com cuidado os valores inseridos na interface do XLS Padlock com os valores reais no seu portal do Azure. Lembre-se de usar a URL do endpoint regional correto.

• Validação de identidade incompleta: seu perfil de certificado não pode ser usado para assinar até que a validação de identidade vinculada seja aprovada pela Microsoft. Verifique o status dela no portal do Azure.

• Bloqueios de firewall ou proxy: se você estiver em uma rede corporativa, um firewall pode estar bloqueando a conexão com *.codesigning.azure.net. Certifique-se de que o tráfego HTTPS de saída na porta 443 seja permitido para esse endpoint.

Melhores práticas para o sucesso

• Sempre az login: crie o hábito de executar o az login antes de uma sessão de assinatura, especialmente se já faz algum tempo.

• Mantenha as ferramentas atualizadas: verifique periodicamente se há novas versões da Azure CLI, das Trusted Signing Client Tools e do Windows SDK.