Brug af dit kodesigneringscertifikat

Denne webside giver instruktioner om brug af en SSL.com OV or EV kodesigneringscertifikat med Microsofts SignTool og SSL.com's SSL Manager.

Disse instruktioner antager, at dit kodesigneringscertifikat er blevet installeret, eller at du har det på et hardwaretoken. For cloud-baseret kodesignering ved hjælp af eSigner-platformen, se venligst Oversigt side og dette tilmeldingsvejledning.

Husk, at for hardware-baserede OV- og EV-kodesigneringscertifikater den private nøgle findes kun på YubiKey FIPS USB-token der blev sendt til dig og at symbolet skal vedhæftes til computeren, der bruges til at underskrive applikationen. Windows-brugere med YubiKey FIPS-tokens skal også downloade og installere YubiKey Smart Card Minidriver inden du bruger deres token.

OV og EV-kodesigneringscertifikater bør ikke installeres manuelt på din computer, hvilket kan forårsage konfigurationsproblemer. Certifikater afsendt på YubiKeys fra SSL.com kan bruges uden yderligere installation ud over installationen af YubiKey Smart Card Minidriver og forbinder tokenet til din computer. Certifikater bestilt via fjernattest skal downloades og installeres på den enhed, der indeholder den private nøgle (f.eks. YubiKey FIPS eller anden understøttet hardware), ikke din computers certifikatlager.
Hvis du planlægger at underskrive Windows 10-drivere med et EV-kodesigneringscertifikat, skal du register med Windows Hardware Developer Program.
For instruktioner om brug af dit OV / IV- eller EV-kodesigneringscertifikat med Java, se vores Guide til Java-kodesignering.

Signering af en eksekverbar med SignTool

Installer Windows SDK og SignTool

SignTool er inkluderet i Windows 10 SDK. Efter installationen vil SignTool være placeret under:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

Starten PowerShell

Start en PowerShell kommandovindue ved at søge efter "Powershell" i Starten og klikke på skrivebordsprogrammet.

Powershell er en kommandolinjegrænseflade til Windows 'kernetjenester. Du kan bruge den til at udføre SignTool og underskrive din kode.

Til EV kode underskriver, skal du vedhæfte dit USB-token til din computer (hvis du ikke allerede har gjort det). Hvis du bruger eSigner, skal du installere eSigner Cloud Key Adapter

Husk, at den private nøgle kun findes på den USB-token, der blev sendt til dig og det token skal vedhæftes til computeren, der bruges til at underskrive applikationen. Dette trin skal springes over, hvis du bruger et OV-kodesigneringscertifikat.

Tilmeld eksekverbar

Du kan signere en eksekverbar fil ved at udstede følgende kommando i Powershell-vinduet. Hvis du bruger eSigner cloud-signering med signtool.exe, skal du sørge for at installere eSigner CKA

. \ signtool.exe tegn / fd sha256 / a "C: \ sti \ til \ MyExecutable.exe"
  • /fd option vælger den fordøjelsesalgoritme, der skal bruges, når du underskriver. Windows 10 SDK, HLK, WDK og ADK bygger 20236 og derover kræver, at denne indstilling er indstillet ved underskrift. SHA256 anbefales fremfor SHA1 for sikkerhed.
  • /a option instruerer SignTool til automatisk at finde et passende kodesigneringscertifikat til din eksekverbare.
  • Hvis du bruger et EV-kodesigneringscertifikat, bliver du bedt om din USB-tokens PIN-kode. Hvis du har brug for hjælp til at finde din PIN-kode, henvises der til denne vej.Indtast PIN-kode
Bemærk: Hvis du underskriver kodefiler, der vil blive inkluderet i et installationsprogram (f.eks. En Windows MSI-fil), skal du underskrive disse filer, før du bygger installationsprogrammet og derefter underskrive selve installationsfilen.

Valg af et signeringscertifikat

Angiv emnets navn

Hvis du har mere end én kodesignering af USB-tokens eller -certifikater installeret, kan du gøre det angiv certifikatet du vil bruge ved at inkludere dens Emne navn via /n valgmulighed.

Du kan finde dit EV CS-certifikats emnenavn ved hjælp af Microsofts certifikatstyringsværktøj certmgr. Åbn værktøjet fra menuen Start, og se efter dit EV CS-certifikat i mappen "Personlig" under "Certifikater" som vist på billedet nedenfor. Emnets navn er feltet "Udstedt til" i certmgr.

I ovenstående billede er certifikatets emne navn example. Du kan specificere denne værdi i SignTool med følgende kommando.

. \ signtool.exe tegn / fd sha256 / n "eksempel" "C: \ sti \ til \ MyExecutable.exe"

Angiv SHA1 Hash

Hvis du har flere certifikater med samme emne navn, kan du også bruge SHA1 hash (eller "tommelfingerprint") af et certifikat til at vælge det til signering. Erstatte THUMBPRINT i kommandoen nedenfor med den aktuelle SHA1-hash dit certifikat. Du kan finde denne værdi ved at se certifikatoplysningerne i certmgr og kigge efter Thumbprint felt (sørg for at fjerne mellemrumstegn fra fingeraftrykket, inden du bruger det i din kommando).

. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"

Brug en PKCS # 12 / PFX-fil

Hvis du har et kodesigneringscertifikat og en privat nøgle i en PKCS # 12-fil (også kendt som en PFX- eller P12-fil), kan du angive filen og dens adgangskode på kommandolinjen:

. \ signtool.exe tegn / fd sha256 / f "C: \ sti \ til \ MyCertificate.pfx" / p adgangskode "C: \ sti \ til \ MyExecutable.exe"

Tidsstempling

Tidsstempling af din kode gør det muligt at stole på den, når dit kodesigneringscertifikat udløber. Hvis du vil tilføje en tidsstempel i den underskrevne binære fil kan du gøre det ved hjælp af SignTool's /tr option, som skal følges ved at indstille tidsstemplets fordøjelsesalgoritme med /td. Kommandoen i uddraget nedenfor inkluderer et tidsstempel fra SSL.com's tidsstempletjeneste, mens du underskriver en eksekverbar.

. \ signtool.exe tegn / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ sti \ til \ MyExecutable.exe"
Bemærk: Sørg for at bruge SignTool's /tr valgmulighed (angiv URL til RFC 3161-tidsstempleserver) ikke /t (URL til tidsstemplingsserver), som er inkompatibel med SSL.coms tidsstempel-server.
Bemærk: /td option skal følg /tr mulighed. Hvis tidsstemplets fordøjelsesalgoritme er specificeret før tidsstemplingsserveren, bruges standard SHA-1-algoritmen. Windows 10 SDK, HLK, WDK og ADK bygger 20236 og derover kræver brug af /tr ved tidsstempling. SHA256 anbefales over SHA1 for sikkerheds skyld.
Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.

Hvis du støder på denne fejl: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.

Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.

Andre muligheder

Andre vigtige indstillinger for SignTool er:

  • /d: Tilføj en beskrivelse af den underskrevne kode. For eksempel, /d "test code".
  • /du: Tilføj en URL med en udvidet beskrivelse af den underskrevne kode. For eksempel, /du https://your_website.tld/project/description.

Brug af alle ovenstående indstillinger (men udeladt /a, /sha1 eller /f fordi vi angiver certifikatets emne navn med /n, vores kommandolinie ser ud:

signtool.exe sign / n "eksempel" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "testkode" / du https: //your_website.tld/project/description "C: \ path \ til \ MyExecutable.exe"

Bekræft underskrift

Brug denne kommando til at bekræfte din underskrevne kode (bemærk, at /pa option skal være til stede i kommandoen):

. \ signtool.exe verificere / pa "C: \ sti \ til \ MyExecutable.exe"

Hvis din fil er blevet signeret med succes, skal du se output som denne:

Fil: C: \ sti \ til \ MyExecutable.exe Index Algoritme Tidsstempel ======================================= ===== 0 sha256 RFC3161 Bekræftet: C: \ sti \ til \ MyExecutable.exe

Du kan også kontrollere, at en fil er underskrevet ved at højreklikke på ikonet og vælge Ejendomme i menuen og derefter vælge Digitale signaturer fanen. Se detaljer om en signatur ved at vælge den og klikke på Detaljer .

Digitale signaturer

Her kan vi se, at filen indeholder en gyldig digital signatur oprettet af SSL Corp den 28. juni 2020.

Detaljer om digital signatur

Gå til top

Signering af en eksekverbar med SSL Manager

Hvis du foretrækker en mere grafikbaseret tilgang, kan du bruge SSL.com's interne software, SSL Manager, for at underskrive dine filer. Mange kunder foretrækker at bruge SSL Manager fordi det giver den ekstra fordel at have nem adgang til alle dine certifikater i en samlet grænseflade. For instruktioner om download og installation SSL Manager, se venligst vores installationsvejledning.

For at underskrive en eksekverbar skal du starte med at vælge Kodesignering> Sign & Timestamp Code Package fra SSL Managermenu.

Tegn & tidsstempel kodepakke

I formularen til kodesignering kan du vælge det eksekverbare og kodesigneringscertifikatet (enten fra en fil eller et certifikatlager) og en af ​​de tilgængelige tidsstempel-servere. Når du er færdig, skal du klikke på Tilmeld knappen for at underskrive din kode. Hvis du indlæser et certifikat fra en PFX-fil, skal du indtaste filens adgangskode. Hvis du bruger et EV-kodesigneringscertifikat, bliver du bedt om din USB-tokens PIN-kode.

Udover kodesignering, SSL Manager tilbyder mange kraftfulde funktioner. For yderligere detaljer henvises til SSL Managerdokumentation, især den Kodesigneringsmenu.

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.

SSL Support Team

Alle indlæg

Relaterede Hvordan Tos

Se alle, hvordan Tos
Facebook Linkedin Twitter Youtube Github

Abonner på SSL.coms nyhedsbrev

Hvad er SSL /TLS?

Afspil video

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse