NuGet
NuGet は、開発者がパッケージを作成、公開、および消費するために必要なツールを提供します。最も重要な点は、NuGet はプロジェクトで使用されるパッケージの参照リストと、そのリストからそれらのパッケージを復元および更新する機能を維持することです。
Follow these instructions to sign directly with NuGet and securely reference your private key stored in Software Trust Manager. Alternatively, integrate NuGet with Signing Manager Controller (SMCTL) for simplified signing.
Prerequisites
Windows operating system
Download and install DigiCert® Software Trust Manager clients
CA chain (only required for private CAs)
サンプル NuGet パッケージをインストールする
これにより、HelloWorld という名前のディレクトリが作成されます。
デフォルトでは、NuGet パッケージマネージャからインストールされるすべてのパッケージは、リポジトリによって署名されています。以下でパッケージを検証することができます。
nuget install HelloWorld
デフォルトでは、NuGet パッケージマネージャからインストールされるすべてのパッケージは、リポジトリによって署名されています。以下でパッケージを検証することができます。
nuget verify -All HelloWorld.1.3.0.17\*
トラスト認証局チェーン
プライベート認証局から発行された証明書で署名するには、認証局チェーンがWindowsで信頼されているものでなければなりません。
CA証明書は、DigiCert Oneからダウンロードすることができます。CA Manager > 認証局の管理 > ICA に移動します。
Sign in to DigiCert ONE®.
Navigate to CA Manager > Manage CAs > Intermediates.
Click on the More actions icon next to the ICA name.
Select Download certificate.
鍵ペアエイリアスと証明書ファイルパスを提供する
証明書を同期させ、鍵ペアエイリアスと証明書ファイルのパスを入力してください。
To sync the default certificate associated with the specified keypair alias:
smctl windows certsync --keypair-alias=<keypair alias>
注記
For more information refer to the Windows command manual.
NuGet 署名
証明書のフィンガープリントを使用して署名するには、次の形式を使用します。
nuget sign <package folder> -Timestamper http://timestamp.digicert.com -outputdirectory <output folder> -Certificate Fingerprint <SHA1 Thumbprint> -HashAlgorithm SHA256 -Verbosity detailed -Overwrite
Command sample:
nuget sign HelloWorld.1.3.0.17\* -Timestamper http://timestamp.digicert.com -outputdirectory ..\am-HelloWorld.1.3.0.17 -CertificateFingerprint 3550ffca3cd652dde30675ce681ea1e01073e647 -HashAlgorithm SHA256 -Verbosity detailed -Overwrite
ヒント
To locate the certificate thumbprint:
証明書マネージャ(certmgr.msc)を開きます。
証明書をダブルクリックします。
[詳細] タブを選択します。
For a list of accepted ways to provide a certificate, refer to NuGet CLI reference.