如何安全地存储.pfx密码以在MSBuild中使用？

Question

我需要在我的构建中添加证书签名.下面是我编写的工作脚本示例,但它包含.pfx文件的密码.我无法在构建脚本中保留密码.在这种情况下你会使用什么"最佳实践"或黑客？

<ItemGroup Label="SignFiles">
  <SignFilesInclude="$(FileLocation)\**\*.exe"/>
</ItemGroup>

<Exec Command="$(SignTool) sign /v /ac C:\MSCV-VSClass3.cer /f C:\Certificate.pfx /p Password /t http://timestamp.verisign.com/scripts/timestamp.dll %(SignFiles.Identity)"/>

在谷歌搜索之后,我在多个地方读到,一旦你第一次使用密码运行脚本,.pfx就存储在证书存储中,之后构建脚本中不需要密码.这是有效的,但我想确保这是最好的方法,或者更好,但有一种方法可以避免将密码放在脚本中.

Answer 1

将.pfx文件导入Windows证书管理器,以获取构建时使用的用户帐户.然后使用signtool的/ sha1开关选择正确的证书,不需要密码.

1. 以构建用户身份登录
2. 跑 certmgr.msc
3. 右键单击"证书" - "当前用户/个人/证书",然后选择"所有任务/导入..."
4. 选择.pfx文件,输入密码,然后单击"下一步"和"完成"
5. 双击导入的证书
6. 在"详细信息"页面中,指纹算法应为sha1
7. 复制指纹,它看起来像 12 34 56 78 90 ab cd ef 12 34 56 78 90 ab cd ef 12 34 56 78
8. signtool /sha1 1234567890abcdef1234567890abcdef12345678 /t http://timestamp.verisign.com/scripts/timestamp.dll %(SignFiles.Identity)

第8步不会要求输入密码.