Microsoft Windows SDKによるテスト用の自己認証局
前回、デジタル署名を利用したUpdatersについてお話いたしました。デジタル署名を持つ実行ファイルであればホワイトリストに登録されていない新規のファイルであっても実行が可能となり、市場出荷後のアップデートやメンテナンスが非常に便利になります。
ただ、デジタル署名(コードサイニング電子証明書サービス)は無償では無い為、OEM様が既にデジタル署名を所持していない場合は、評価段階から署名取得の為に費用が発生してしまいます。
その回避方法として、やはりMicrosoft社のSDKを利用して自己認証局を立て、自己署名の発行を行う事が可能です。
(正式な証明機関で認証されたものでは無い為に、外部に公開する事は推奨されません。)
Microsoft Windows SDKの入手とインストール
Microsoft社のWebよりSDKのダウンロードをします。なお、Microsoft Windows SDK for Windows 7 では .NET Framework 4.0も必要になるため、合わせてダウンロードとインストールを行っておきます。
インストールを実際に行うコンポーネントは下記画面のハイライト部分の「.NET Development」の中の「Tools」だけあれば十分です。もちろんデフォルトのコンポーネントを一通りインストールしても構いません。
インストール後、「C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin」のフォルダに下記ファイル類が存在する事をご確認ください。
- cert2spc.exe
- makecert.exe
- pvk2pfx.exe
- signtool.exe
これらのファイルは単独で動作可能なので、別のフォルダにコピーしても構いません。
X.509自己認証ファイルの作成
> makecert -a sha1 -b 02/01/2011 -e 12/31/2099 -cy authority -eku 1.3.6.1.5.5.7.3.3 -sv UniduxCA.pvk -r -n "CN=UniduxCA" UniduxCA.cer
とコマンドを実行します。
: -a、署名アルゴリズムの指定を行います。オプションはmd5かsha1になります。
: -b、有効期間の開始日を指定します。
: -e、有効期間の終了日を指定します。
: -cy、証明書タイプの指定を行います。オプションはendかauthorityになります。
: -eku、拡張キー用途オブジェクト識別子OIDの挿入を行います。
: -sv、秘密キーが格納される.pvkファイルの名前を指定します。
: -r、自己署名証明の作成を指定します。
: -n、ルート証明の名称を指定します。"CN=MyName" 形式で記述します。
コマンド詳細は証明書作成ツールのページをご参照ください。
- UniduxCA.cer
- UniduxCA.pvk
というファイルが作成されます。
ソフトウェア発行元証明形式への変換
作成されたX.509形式のセキュリティ証明書ファイルをラッピングし、ソフトウェア発行元証明ファイル(.spc)に変換します。
> cert2spc UniduxCA.cer UniduxCA.spc
とコマンドを実行します。
コマンド詳細はcert2spcの使用のページをご参照ください。
- UniduxCA.spc
というファイルが作成されます。
証明書と鍵情報の格納
秘密鍵ファイル(.pvk)とソフトウェア発行元証明ファイル(.spc)を電子証明書キーペアファイル(.pfx)にパッケージングします。
> pvk2pfx -pvk UniduxCA.pvk -spc UniduxCA.spc -po UniduxCA -pfx UniduxCA.pfx -f
とコマンドを実行します。
: -pvk、pvkファイル名の指定を行います。
: -spc、spcファイル名の指定を行います。
: -po、パスワードの指定を行います。
: -pfx、出力するpfxファイル名の指定を行います。
: -f、同名ファイルが存在する場合の上書き指定スイッチ。
コマンド詳細はPvk2Pfxのページをご参照ください。
- UniduxCA.pfx
というファイルが作成されます。
認証局CAの設定、鍵情報の登録
自己認証局とするPCに対して、作成された電子証明書キーペアファイル(.pfx)のインポートを行います。
.pfxファイルをダブルクリックすると、「証明書のインポートウイザード」が起動します。
先ほどパッケージングした.pfxファイルを指定します。
自己証明書のインポート
自己認証局CAとなったPCに対して、自己署名証明のセキュリティ証明書ファイル(.cer)を登録します。
.cerファイルをダブルクリックし、「証明書のインストール」ボタンを押すと「証明書のインポートウイザード」が起動します。
今回、自己署名による証明書のために下記のようなセキュリティ警告が表示されます。
デジタル署名の書き込み
あとは前回行ったのと同様にsigntool.exeを使用して、実行ファイルに対してデジタル署名の書き込みを行います。
> signtool.exe sign -f <pfx証明書ファイル名> -p <pfx証明書パスワード> <署名するファイル>
例えば、「infinst_autol_9.2.0.1030.exe」というファイルに対して書き込みを行う場合、
> signtool.exe sign -f UniduxCA.pfx -p UniduxCA infinst_autol_9.2.0.1030.exe
というコマンドを実行します。
注:「infinst_autol_9.2.0.1030.exe」はインテル社の提供するファイルになり、通常、第三者がデジタル署名をする事は許可されません。今回はあくまで例として表記しております。
まとめ
McAfee Embedded Controlではデジタル署名を実行ファイルに付与する事により、セキュリティを担保した状態でアップデートを行う事が可能で、システム運用が非常に簡易に行える利点があります。
しかし、公的なデジタル署名は有償対応となる為、採用が確定していない評価段階ではロードブロックとなってしまいます。
Microsoft社のSDKに含まれるテスト用証明書作成ツールを利用し、自己認証局、自己署名証明を作成する事で、無償で評価を推進する事が可能になります。
お問い合わせ