Home > News > Breaking News > Azure Key Vault e certificati code-signing: Strategie per la conformità post 1° Giugno 2023!

Azure Key Vault e certificati code-signing: Strategie per la conformità post 1° Giugno 2023!

In questi giorni, ho avuto l’opportunità di esplorare il rinnovo di un certificato di code-signing utilizzato per autenticare e firmare digitalmente file contenenti codice eseguibile all’interno di un flusso di integrazione e distribuzione continua (CI/CD).

Durante la ricerca del certificato più idoneo, ho scoperto la nuova disposizione introdotta dal CA/Browser Forum, che dal 1° giugno 2023 impone che tutti i certificati di code-signing siano disponibili su token USB. La soluzione di firma tramite token USB non è però compatibile con i flussi CI/CD a causa del suo meccanismo di firma basato sugli eventi, rendendola poco pratica per gli ambienti di integrazione continua, anche all’interno di zone protette.

Inoltre, la soluzione di firma tramite token USB non si integra bene con le piattaforme cloud come Azure DevOps o GitHub Workflow.

Una alternativa al token USB è rappresentata dalla possibilità di dotarsi di un server HSM (Hardware Security Module) on-premise o in cloud.

Dopo aver condotto alcune ricerche e beneficiato dei consigli dell’amico Giuliano Latini, che ringrazio, ho optato per un certificato di code-signing di tipo Azure Key Vault, gestito da DigiCert tramite il portale SignMyCode.

Una volta acquistato il certificato, è necessario seguire una procedura di accreditamento, durante la quale si ricevono istruzioni chiare e dettagliate tramite email. Successivamente, il certificato viene sottoposto a convalida. Come parte del processo di convalida, è necessario confermare l’autorità di acquisto del certificato per conto dell’organizzazione. Questo richiede di fornire un numero di telefono verificato e pubblicamente elencato, consentendo all’autorità di certificazione di interagire direttamente con voi o con un rappresentante dell’organizzazione. Il processo di accreditamento e convalida può richiedere diversi giorni. Nel frattempo, consiglio di preparare l’ambiente Azure per ospitare il certificato che verrà emesso all’interno di un Key Vault.

La preparazione dell’ambiente Azure include:

Una volta completato il processo di convalida, verrà emesso un file con estensione .pem che dovrà essere importato nel Key Vault Azure precedentemente creato. È possibile seguire la procedura descritta in questo articolo:

Il certificato di code-signing è ora custodito in Azure Key Vault e può essere utilizzato con diversi signing tools, tra questi AzureSignTool e .NET SignTool. Collocati all’interno di un processo di CI/CD, I tool di firma possono essere utilizzati, per esempio, in una pipeline Jenkins oppure all’interno di un GitHub Workflow; di seguito alcuni link molto utili a risorse che descrivono come ottenere i secret(s) da Azure Key Vault e come configurare i tool di firma:

L’ultimo link è particolarmente utile per la configurazione dei ruoli di accesso (RBAC) che è necessario fornire all’App Azure precedentemente creata.

Per volumi elevati di firme e quando è necessario un modulo hardware di sicurezza (HSM) on-premise oppure in cloud, sono disponibili soluzioni alternative. Una di queste, a mio parere, molto ben strutturata, è rappresentata dal servizio CodeSign Secure offerto da Encryption Consulting LLC. Questo servizio si integra perfettamente con Jenkins e GitHub Workflow, come descritto nei seguenti video:

Buon divertimento con i certificati di firma digitale.

Chi è Sergio Govoni

Sergio Govoni è laureato in Scienze e Tecnologie Informatiche. Da oltre 16 anni lavora presso una software house che produce un noto sistema ERP, distribuito a livello nazionale ed internazionale, multi azienda client/server su piattaforma Win32. Attualmente si occupa di progettazione e analisi funzionale, coordina un team di sviluppo ed è responsabile tecnico di prodotto. Lavora con SQL Server dalla versione 7.0 e si è occupato d'implementazione e manutenzione di database relazionali in ambito gestionale, ottimizzazione delle prestazioni e problem solving. Nello staff di UGISS si dedica alla formazione e alla divulgazione in ambito SQL Server e tecnologie a esso collegate, scrivendo articoli e partecipando come speaker ai workshop e alle iniziative del primo e più importante User Group Italiano sulla tecnologia SQL Server. Ha conseguito la certificazione MCP, MCTS SQL Server. Per il suo contributo nelle comunità tecniche e per la condivisione della propria esperienza con altri, dal 2010 riceve il riconoscimento SQL Server MVP (Microsoft Most Valuable Professional). Nel corso dell'anno 2011 ha contribuito alla scrittura del libro SQL Server MVP Deep Dives Volume 2 (http://www.manning.com/delaney/).

Leggi Anche

Agenda di SQL Start 2024!

SQL Start è un evento community di una giornata, gratuito, il cui obiettivo è quello …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

eighty two + = eighty five

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.