使用 Azure Key Vault (HSM) 签署 VBA（宏的内部 doc 和/或 docx）

长话短说，您需要实现 CNG 接口来创建一个 KSP，该 KSP 执行客户端哈希、ASN.1 编码（因为它是 RSA 签名），然后将结果发送到 Azure 进行签名，同时将 RSNULL 指定为签名算法。或者，您可以使用第三方解决方案来为您完成这一切。我们使用

，尽管可能还有其他的。

以及 Azure HSM 支持的代码签名证书，通过 VBA 宏对 Office 文件进行签名。 请按照以下步骤操作：

根据随附的自述文件安装
1. Office 主题接口包/SIPs

   。它可能看起来有点复杂/麻烦。请务必仔细阅读。

   SIP
   是一种扩展文件类型的方法，Authenticode 可以理解如何签名和验证
   • 。 （来源） Office SIP 仅限 x86/32 位。当从 64 位进程使用 Windows 的签名基础设施时，它们将不可用。因此，我们需要确保以 32 位执行 AzureSignTool。
在 shell 中执行

2. git clone https://github.com/vcsjones/AzureSignTool.git cd AzureSignTool/src/AzureSignTool dotnet run sign "D:\signtest.xlsm" -kvm -kvu https://contoso-codesigning.vault.azure.net/ -kvc contoso-codesigning-ov -tr http://timestamp.acs.microsoft.com/ -r win-x86 dotnet run sign "D:\signtest.xlsm" -kvm -kvu https://contoso-codesigning.vault.azure.net/ -kvc contoso-codesigning-ov -tr http://timestamp.acs.microsoft.com/ -r win-x86 dotnet run sign "D:\signtest.xlsm" -kvm -kvu https://contoso-codesigning.vault.azure.net/ -kvc contoso-codesigning-ov -tr http://timestamp.acs.microsoft.com/ -r win-x86

   如果您想使用服务主体和相应的客户端密钥进行身份验证，请将
   -kvm
   • (

     -kvm|--azure-key-vault-managed-identity UseManagedIdentity

     ) 替换为

     -kvi <clientid> -kvs <clientsecret> -kvt <tenantid>

     实际上需要运行相同的命令3次，首先创建旧签名，然后创建敏捷签名，然后创建V3签名。请参阅 Office SIP 的自述文件。
   这应该输出类似的内容

   info: AzureSignTool.SignCommand[0] => File: D:\signtest.xlsm Signing file. info: AzureSignTool.SignCommand[0] => File: D:\signtest.xlsm Signing completed successfully. info: AzureSignTool.SignCommand[0] Successful operations: 1 info: AzureSignTool.SignCommand[0] Failed operations: 0

验证一切正常：
3. signtool verify /pa D:\signtest.xlsm
   File: D:\signtest.xlsm Index Algorithm Timestamp ======================================== 0 sha256 RFC3161 Successfully verified: D:\signtest.xlsm