Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Gunakan Microsoft Manifest Generation dan Editing Tool (Mage.exe) AWS CloudHSM untuk menandatangani file
<a name="third-magetool"></a>

**catatan**  
AWS CloudHSM hanya mendukung alat Mage 64-bit yang disertakan dalam Windows SDK untuk.NET Framework 4.8.1 dan yang lebih baru.

Topik berikut memberikan ikhtisar tentang cara menggunakan [Mage.exe](https://learn.microsoft.com/en-us/dotnet/framework/tools/mage-exe-manifest-generation-and-editing-tool) dengan AWS CloudHSM.

**Topics**
+ [Langkah 1: Siapkan prasyarat](#magetool-prereqs)
+ [Langkah 2: Buat sertifikat penandatanganan](#magetool-csr)
+ [Langkah 3: Tanda tangani file](#magetool-sign)

## Langkah 1: Siapkan prasyarat
<a name="magetool-prereqs"></a>

Untuk menggunakan Microsoft Mage.exe dengan AWS CloudHSM, Anda memerlukan yang berikut:
+  EC2 Instans Amazon yang menjalankan sistem operasi Windows
+ Otoritas sertifikat (CA), baik yang dikelola sendiri atau dari penyedia pihak ketiga
+  AWS CloudHSM Cluster aktif di virtual private cloud (VPC) yang sama dengan EC2 instans Anda, dengan setidaknya satu HSM
+ Pengguna kripto (CU) untuk memiliki dan mengelola kunci di AWS CloudHSM cluster
+ File yang tidak ditandatangani atau dapat dieksekusi
+ Kit Pengembangan Perangkat Lunak Microsoft Windows (SDK)

**Untuk mengatur prasyarat untuk menggunakan dengan Mage.exe AWS CloudHSM**

1. Luncurkan EC2 instance Windows dan AWS CloudHSM cluster dengan mengikuti petunjuk di bagian [Memulai](getting-started.md) panduan ini.

1. Jika Anda ingin meng-host Windows Server CA Anda sendiri, selesaikan langkah 1 dan 2 dalam [Mengkonfigurasi Windows Server sebagai Otoritas Sertifikat dengan AWS CloudHSM](win-ca-overview-sdk5.md). Jika tidak, gunakan CA pihak ketiga tepercaya publik Anda.

1. Unduh dan instal Microsoft Windows SDK for .NET Framework 4.8.1 atau yang lebih baru pada contoh Windows Anda EC2 :
   + [Microsoft Windows SDK 10](https://developer.microsoft.com/en-us/windows/downloads/windows-10-sdk)

   `mage.exe`Executable adalah bagian dari Windows SDK Tools. Lokasi instalasi default adalah:

   ```
   C:\Program Files (x86)\Windows Kits\{{<SDK version>}}\bin\{{<version number>}}\x64\Mage.exe
   ```

Setelah menyelesaikan langkah-langkah ini, Anda dapat menggunakan Microsoft Windows SDK, AWS CloudHSM klaster, dan CA untuk [membuat sertifikat penandatanganan](#magetool-csr).

## Langkah 2: Buat sertifikat penandatanganan
<a name="magetool-csr"></a>

Sekarang setelah Anda menginstal Windows SDK pada EC2 instans Anda, Anda dapat menggunakannya untuk menghasilkan permintaan penandatanganan sertifikat (CSR). CSR adalah sertifikat yang tidak ditandatangani yang Anda kirimkan ke CA untuk ditandatangani. Dalam contoh ini, kami menggunakan `certreq` executable yang disertakan dengan Windows SDK untuk menghasilkan CSR.

**Untuk menghasilkan CSR menggunakan certreq yang dapat dieksekusi**

1. Connect ke EC2 instans Windows Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan EC2 Pengguna Amazon*.

1. Buat file dengan nama `request.inf` dengan konten berikut ini. Ganti `Subject` informasi dengan detail organisasi Anda:

   ```
   [Version]
   Signature= $Windows NT$
   [NewRequest]
   Subject = "C={{<Country>}},CN={{<www.website.com>}},O={{<Organization>}},OU={{<Organizational-Unit>}},L={{<City>}},S={{<State>}}"
   RequestType=PKCS10
   HashAlgorithm = SHA256
   KeyAlgorithm = RSA
   KeyLength = 2048
   ProviderName = "CloudHSM Key Storage Provider"
   KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE"
   MachineKeySet = True
   Exportable = False
   ```

   Untuk penjelasan tentang setiap parameter, lihat [Dokumentasi Microsoft](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1#BKMK_New).

1. Jalankan `certreq.exe` untuk menghasilkan CSR:

   ```
   certreq.exe -new request.inf request.csr
   ```

   Perintah ini menghasilkan key pair baru di AWS CloudHSM cluster Anda dan menggunakan kunci pribadi untuk membuat CSR.

1. Kirimkan CSR ke CA Anda. Jika Anda menggunakan Windows Server CA, ikuti langkah-langkah berikut:

   1. Buka alat CA:

      ```
      certsrv.msc
      ```

   1. Di jendela baru, klik kanan nama server CA. Pilih **Semua Tugas**, lalu pilih **Kirim permintaan baru**.

   1. Arahkan ke lokasi `request.csr` dan pilih **Buka**.

   1. Perluas menu **Server CA** dan arahkan ke folder **Permintaan Tertunda**. Klik kanan permintaan yang baru saja Anda buat, pilih **Semua Tugas**, lalu pilih **Masalah**.

   1. Arahkan ke folder **Sertifikat yang Diterbitkan**.

   1. Pilih **Buka** untuk melihat sertifikat, dan kemudian memilih tab **Detail**.

   1. Pilih **Salin ke File** untuk memulai Wizard Ekspor Sertifikat. Simpan file Der-encoded X.509 ke lokasi aman sebagai `signedCertificate.cer`.

   1. Keluar dari alat CA dan jalankan perintah berikut untuk memindahkan file sertifikat ke Personal Certificate Store di Windows:

      ```
      certreq.exe -accept signedCertificate.cer
      ```

Anda sekarang dapat menggunakan sertifikat yang diimpor untuk [menandatangani file](#magetool-sign).

## Langkah 3: Tanda tangani file
<a name="magetool-sign"></a>

Sekarang Anda memiliki Mage.exe dan sertifikat impor Anda, Anda dapat menandatangani file. *Anda perlu mengetahui hash SHA-1 sertifikat, atau cap jempol.* Cetak jempol memastikan bahwa Mage.exe hanya menggunakan sertifikat yang diverifikasi oleh. AWS CloudHSM Dalam contoh ini, kita gunakan PowerShell untuk mendapatkan hash sertifikat.

**Untuk mendapatkan cap jempol sertifikat dan menggunakannya untuk menandatangani file**

1. Arahkan ke direktori yang berisi`mage.exe`. Lokasi defaultnya adalah:

   ```
   C:\Program Files (x86)\Microsoft SDKs\Windows\v10.0A\bin\NETFX 4.8.1 Tools\x64
   ```

1. Untuk membuat contoh file aplikasi menggunakan Mage.exe, jalankan perintah berikut:

   ```
   mage.exe -New Application -ToFile C:\Users\Administrator\Desktop\sample.application
   ```

1. Buka PowerShell sebagai administrator dan jalankan perintah berikut:

   ```
   Get-ChildItem -path cert:\LocalMachine\My
   ```

   Salin`Thumbprint`,`Key Container`, dan `Provider` nilai dari output.  
![Hash sertifikat akan ditampilkan sebagai cap jempol, keycontainer, dan penyedia dalam output](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/images/certstore-my-certificate.png)

1. Tanda tangani file Anda dengan menjalankan perintah berikut:

   ```
   mage.exe -Sign -CertHash {{<thumbprint>}} -KeyContainer {{<keycontainer>}} -CryptoProvider {{<CloudHSM Key Storage Provider/Cavium Key Storage Provider>}} C:\Users\Administrator\Desktop\{{<sample.application>}}
   ```

   Jika perintah berhasil, PowerShell mengembalikan pesan sukses.

1. Untuk memverifikasi tanda tangan pada file, gunakan perintah berikut:

   ```
   mage.exe -Verify -CryptoProvider {{<CloudHSM Key Storage Provider/Cavium Key Storage Provider>}} C:\Users\Administrator\Desktop\{{<sample.application>}}
   ```