Jak podepisovat s tokenem bez zadávání hesla

Častým problémem našich uživatelů je nutnost zadávat heslo k tokenu při každém jednom podpisu. To nejen obtěžuje, ale taky brání automatizaci. V tomto článku konečně přinášíme řešení.

První možnost - Single logon

Triviální a rychlou možností je povolit v Clients settings a záložce Advanced volbu Enable single logon. To znamená, že po zadání hesla po vás nebude Safenet chtít heslo znovu až to odhlášení.

Safenet Single logon
Nastavení Single logon v Safenetu

Druhá možnost - podstrčení hesla při podepisování

Při samotném podepisování existuje možnost podstrčit heslo už při podepisování souboru - pak se Safenet na heslo neptá. K tomu využijete parametry /f, /csp a /k; do druhého z nich je potřeba složit heslo spolu s názvem kontejneru.

Zde je příklad kde najdete potřebné hodnoty údajů, ty si připravte:

    Export certifikátu ze Safenetu
    Export certifikátu ze Safenetu
  • /f CERTIFICATE.cer - umístění exportu certifikátu z tokenu do souboru (samozřejmě privátní klíč exportovat nejde.
  • Zjištění Container name
    Zjištění Container name a Cryptographic provider
  • /csp - název Cryptographic provider(a) - najdete v Safenet v sekci private key, např. eToken Base Cryptographic Provider"
  • /k - heslo k tokenu, které se zadává při podepisování. Zkombinujte ho s názvem kontejneru; heslo musí být uzavřeno do závorek jako v příkladu níže.
    "[{{TokenPasswordHere}}]=KeyContainerNameHere"

Vše zkombinujte a podepisujte

Všechny výše zjištěné informace se pomocí parametrů doplní do podpisového příkazu. Příkaz pro podepisování vypadá jako celek takto:

signtool sign /f "C:\Users\User\CERTIFICATE.cer" /csp "eToken Base Cryptographic Provider" /k "[{{tokenpassword}}]=Containername" /fd SHA256 /t http://timestamp.digicert.com "C:\Users\User\APP.exe"

Signtool soubor podepíše aniž by se ptal na heslo; nevyskočí ani výzva k zadání hesla do Safenetu.

Zdroj:

Vlákno Automate Extended Validation (EV) code signing with SafeNet eToken na StackOverflow