コード署名周りpfxファイル設置からSSL.comのeSigner CKAに変更する

[Hiroshiba]

内容

今年初めぐらいにコードサイニング証明書周りの世界的な見直しが入って、いろんな証明書発行事業者がこぞって証明書ファイルを直に配布することを取りやめました。 署名の方法も変化して、物理トークンが要求されるようになったものと、クラウドサービスへのログインが必要になったものの2種類になった気がします。 VOICEVOXのコード署名もこの変革の巻き添えになったので署名周りのコードの見直しが必要です。

ちょっと事後報告的になってしまって申し訳ないのですが、色々検討した結果SSL.comのコード署名は個人事業主でも取得でき、かつクラウドサービスを利用した署名もできそうなので、この事業者を選択しました。 SSL.comが作っている、コード署名をクラウドサービスでできるようにするツールの名前がeSigner CKAです（多分）。 相当な試行錯誤が必要でしたが、Github Workflow上で署名することができました。

VOICEVOXの署名周りのオープンソースコードをどうしようかで迷ったのですが、破壊的変更を加える方針を考えています。 理由は以下の通りです。

1. もうコード署名用ファイル直起きでビルドすることができない
2. 署名周りのコードはおそらくおそらく製品版VOICEVOXしか利用していない

このissueは上述の内容の告知と、変更に伴うプルリクエストのリンク先と、何をどうやったかのメモを残すために作成しました。

[Hiroshiba]

@y-chan メンテナ共有です。 8期生のリリースまで時間がないので一旦release-0.14ブランチに署名周りのコード変更をマージしていこうと思います。 mainにマージする時にレビューお願いできれば 🙇

[Hiroshiba]

いろいろ調べたときのメモを残します。

• ssl.com＋electronでの署名あれこれ
  • https://github.com/electron-userland/electron-builder/issues/6158
• SSL.comが作ってるCodeSignToolを使う方法。electronでの署名をフックする感じ
  • https://github.com/electron-userland/electron-builder/issues/6158#issuecomment-899798533
• CodeSignToolのドキュメント
  • https://www.ssl.com/guide/esigner-codesigntool-command-guide/
• 証明書ストアから情報を取ってきて、それをelectronに投げる方法（VOICEVOXと同じような方針）
  • https://github.com/vector-im/element-desktop/blob/8f2390dc2aaf6659a2696e8a643ad8e261f5a137/.github/workflows/build_windows.yaml#L118-L163
• eSignerCKATool使うドキュメント
  • https://www.ssl.com/how-to/how-to-integrate-esigner-cka-with-ci-cd-tools-for-automated-code-signing/
• codesignerというGithub Actions。おそらく１ファイルずつの署名なので使い勝手がいまいち。
  • https://github.com/SSLcom/esigner-codesign
• codesignerのサンプル例
  • https://github.com/SSLcom/codesigner-samples
• とりあえず署名したいときは、VOICEVOX COREのcodesign.bashがMITライセンスなので便利なはず
  • https://github.com/VOICEVOX/voicevox_core/blob/1895ab523220369c7101331c73b3358d6743549d/build_util/codesign.bash
• electronで署名したいといは、VOICEVOXのこのプルリクが参考になるはず（LGPLライセンス）
  • https://github.com/VOICEVOX/voicevox/pull/1597

[Hiroshiba]

タスク完了なのでcloseします！