توفر صفحة الويب هذه إرشادات حول استخدام SSL.com OV or EV شهادة توقيع الكود مع Microsoft's SignTool و SSL.com SSL Manager.
تفترض هذه الإرشادات أنه قد تم تثبيت شهادة توقيع الرمز الخاصة بك ، أو أنها مثبتة لديك على رمز مميز للجهاز. لتوقيع الرمز المستند إلى السحابة باستخدام منصة eSigner ، يرجى الرجوع إلى الصفحة نظرة عامة وهذا دليل التسجيل.
تذكر أنه لشهادات توقيع رمز OV و EV المستندة إلى الأجهزة ، المفتاح الخاص موجود فقط على رمز YubiKey FIPS USB التي تم إرسالها إليك وهذا الرمز المميز يجب إرفاقها إلى جهاز الكمبيوتر المستخدم لتوقيع التطبيق. يجب على مستخدمي Windows الذين لديهم رموز YubiKey FIPS أيضًا تنزيل وتثبيت ملف YubiKey البطاقة الذكية Minidriver قبل استخدام رمزهم المميز.
توقيع قابل للتنفيذ مع SignTool
تثبيت Windows SDK و SignTool
يتم تضمين SignTool مع ويندوز 10 SDK. بعد التثبيت ، سيتم وضع SignTool تحت:
C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ Signtool.exe
آبدأ بوويرشيل
بدء بوويرشيل نافذة الأوامر من خلال البحث عن "Powershell" في ملف آبدأ القائمة والنقر على تطبيق سطح المكتب.
Powershell هي واجهة سطر أوامر لخدمات Windows الأساسية. يمكنك استخدامه لتنفيذ SignTool وتوقيع الرمز الخاص بك.
ل EV الكود التوقيع ، قم بإرفاق رمز USB الخاص بك بجهاز الكمبيوتر الخاص بك (إذا لم تكن قد قمت بذلك بالفعل). في حالة استخدام eSigner ، قم بتثبيت محول eSigner Cloud Key
تذكر أن المفتاح الخاص موجود فقط على رمز USB الذي تم إرساله إليك وذاك يجب إرفاق الرمز المميز إلى جهاز الكمبيوتر الذي يتم استخدامه لتوقيع التطبيق. يجب تخطي هذه الخطوة إذا كنت تستخدم شهادة توقيع رمز OV.
توقيع تنفيذ
يمكنك التوقيع على ملف تنفيذي عن طريق إصدار الأمر التالي في نافذة Powershell. إذا كنت تستخدم التوقيع السحابي لـ eSigner مع Signtool.exe ، فتأكد من التثبيت التوقيع الإلكتروني CKA
. \ Signtool.exe تسجيل / fd sha256 / "C: \ المسار \ إلى \ MyExecutable.exe"
- •
/fd
يحدد الخيار خوارزمية الملخص التي سيتم استخدامها عند التوقيع. إصدارات Windows 10 SDK و HLK و WDK و ADK شنومك وما فوق تتطلب تعيين هذا الخيار عند التوقيع. يوصى باستخدام SHA256 عبر SHA1 للأمان. - •
/a
يوجه الخيار SignTool إلى العثور تلقائيًا على شهادة توقيع رمز مناسبة لملفك التنفيذي. - إذا كنت تستخدم شهادة توقيع رمز EV ، فستتم مطالبتك بإدخال رمز PIN الخاص برمز USB. إذا كنت بحاجة إلى مساعدة في العثور على رقم التعريف الشخصي الخاص بك ، فيرجى الرجوع إلى هذا كيف.
اختيار شهادة التوقيع
حدد اسم الموضوع
إذا كان لديك أكثر من رمز واحد يوقع رموز USB أو شهادات مثبتة ، يمكنك ذلك تحديد الشهادة تريد استخدامه من خلال تضمينه اسم الموضوع عبر /n
الخيار.
يمكنك العثور على اسم موضوع شهادة EV CS باستخدام أداة إدارة الشهادات من Microsoft سيرتمجر. افتح الأداة من قائمة ابدأ وابحث عن شهادة EV CS في المجلد "شخصي" ، ضمن "الشهادات" ، كما هو موضح في الصورة أدناه. اسم الموضوع هو الحقل "الصادر إلى" في certmgr.
في الصورة أعلاه ، اسم موضوع الشهادة هو example
. يمكنك تحديد هذه القيمة في SignTool باستخدام الأمر التالي.
. \ Signtool.exe تسجيل / fd sha256 / n "مثال" "C: \ مسار \ إلى \ MyExecutable.exe"
حدد تجزئة SHA1
إذا كانت لديك شهادات متعددة بنفس اسم الموضوع ، فيمكنك أيضًا استخدام تجزئة SHA1 (أو "بصمة الإبهام") للشهادة لتحديدها للتوقيع. يحل محل THUMBPRINT
في الأمر أدناه باستخدام تجزئة SHA1 الفعلية لشهادتك. يمكنك العثور على هذه القيمة من خلال عرض تفاصيل الشهادة في certmgr والبحث عن ملف Thumbprint
الحقل (تأكد من إزالة أي أحرف مسافات من بصمة الإبهام قبل استخدامها في الأمر).
. \ Signtool.exe تسجيل / fd sha256 / sha1 THUMBPRINT "C: \ المسار \ إلى \ MyExecutable.exe"
استخدم ملف PKCS # 12 / PFX
إذا كانت لديك شهادة توقيع رمز ومفتاح خاص في ملف PKCS # 12 (يُعرف أيضًا باسم ملف PFX أو P12) ، فيمكنك تحديد الملف وكلمة المرور الخاصة به في سطر الأوامر:
. \ Signtool.exe تسجيل / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p password "C: \ path \ to \ MyExecutable.exe"
الطابع الزمني
سيسمح الطابع الزمني للرمز الخاص بك بالوثوق به بعد انتهاء صلاحية شهادة توقيع الرمز. إذا كنت تريد إضافة ملف الطابع الزمني في الملف الثنائي الموقع ، يمكنك القيام بذلك باستخدام SignTool's /tr
الخيار ، والذي يجب أن يتبعه تعيين خوارزمية ملخص الطابع الزمني مع /td
. يتضمن الأمر الموجود في المقتطف أدناه طابعًا زمنيًا من SSL.comخدمة الطابع الزمني أثناء توقيع ملف تنفيذي.
. \ Signtool.exe تسجيل / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ path \ to \ MyExecutable.exe"
/tr
الخيار (حدد عنوان URL لخادم الطابع الزمني RFC 3161) ، ليس /t
(عنوان URL لخادم الطابع الزمني) ، وهو غير متوافق مع خادم الطابع الزمني لـ SSL.com./td
خيار يجب اتبع /tr
اختيار. إذا تم تحديد خوارزمية ملخص الطابع الزمني قبل خادم الطابع الزمني ، فسيتم استخدام خوارزمية SHA-1 الافتراضية. إصدارات Windows 10 SDK و HLK و WDK و ADK شنومك وما فوق تتطلب استخدام /tr
عند الطابع الزمني. يوصى باستخدام SHA256 عبر SHA1 للأمان.إذا واجهت هذا الخطأ:
The timestamp certificate does not meet a minimum public key length requirement
، يجب عليك الاتصال ببائع البرنامج للسماح بالطوابع الزمنية من مفاتيح ECDSA.إذا لم تكن هناك طريقة تسمح لمورّد البرامج لديك باستخدام نقطة النهاية العادية ، فيمكنك استخدام نقطة النهاية القديمة هذه
http://ts.ssl.com/legacy
للحصول على طابع زمني من وحدة طابع زمني RSA.خيارات أخرى
خيارات SignTool الهامة الأخرى هي:
/d
: أضف وصفا للشفرة الموقعة. فمثلا،/d "test code"
./du
: أضف عنوان URL مع وصف موسع للرمز الموقع. فمثلا،/du https://your_website.tld/project/description
.
استخدام جميع الخيارات أعلاه (ولكن مع حذف) /a
, /sha1
الطرق أو /f
لأننا نحدد اسم موضوع الشهادة باستخدام /n
، يبدو سطر الأوامر الخاص بنا كما يلي:
signtool.exe / n "مثال" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "رمز الاختبار" / du https: //your_website.tld/project/description "C: \ path \ to \ MyExecutable.exe "
تحقق من التوقيع
استخدم هذا الأمر للتحقق من الرمز الموقع (لاحظ أن ملف /pa
يجب أن يكون الخيار موجودًا في الأمر):
. \ Signtool.exe تحقق / pa "C: \ path \ to \ MyExecutable.exe"
إذا تم التوقيع على ملفك بنجاح ، فسترى الإخراج مثل هذا:
الملف: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp ================================== ===== 0 sha256 RFC3161 تم التحقق بنجاح: C: \ path \ to \ MyExecutable.exe
يمكنك أيضًا التحقق من أن الملف قد تم توقيعه عن طريق النقر بزر الماوس الأيمن فوق الرمز الخاص به وتحديد عقارات من القائمة ، ثم اختيار التوقيعات الرقمية التبويب. اعرض تفاصيل التوقيع عن طريق تحديده والنقر فوق التفاصيل .
هنا يمكننا أن نرى أن الملف يحتوي على توقيع رقمي صالح ، تم إنشاؤه بواسطة SSL Corp في 28 يونيو 2020.
توقيع قابل للتنفيذ مع SSL Manager
إذا كنت تفضل نهجًا أكثر اعتمادًا على الرسومات ، فيمكنك استخدامه SSL.comبرنامج داخلي ، SSL Manager، لتوقيع ملفاتك. يفضل العديد من العملاء استخدامها SSL Manager لأنه يوفر ميزة إضافية تتمثل في سهولة الوصول إلى جميع شهاداتك في واجهة واحدة موحدة. للحصول على إرشادات حول التنزيل والتثبيت SSL Manager، يرجى الرجوع إلى موقعنا دليل التثبيت.
للتوقيع على ملف تنفيذي ، ابدأ باختيار توقيع الرمز> حزمة رمز التوقيع والطابع الزمني تبدأ من SSL Managerقائمة.
في نموذج توقيع الرمز ، يمكنك تحديد الملف القابل للتنفيذ وشهادة توقيع الرمز (إما من ملف أو من مخزن شهادات) وأحد خوادم ختم الوقت المتاحة. عند الانتهاء ، انقر فوق توقيع زر لتوقيع الرمز الخاص بك. إذا كنت تقوم بتحميل شهادة من ملف PFX ، فسيتعين عليك إدخال كلمة مرور الملف. إذا كنت تستخدم شهادة توقيع رمز EV ، فستتم مطالبتك بإدخال رمز PIN الخاص برمز USB.
إلى جانب توقيع الرمز ، SSL Manager يقدم العديد من الميزات القوية. لمزيد من التفاصيل ، يرجى الرجوع إلى SSL Managerوثائق، وخاصة قائمة توقيع الرمز.