Brug af dit kodesigneringscertifikat

Sådan bruges dit OV- eller EV-kodesigneringscertifikat med Microsofts SignTool og SSL.com SSL Manager ansøgning.

Lignende indhold

Kopiér artikellinket
Med virkning fra 1. marts 2026 gælder nye branchekrav fra CA / Browser Forum vil begrænse den maksimale gyldighedsperiode for offentligt betroede kodesigneringscertifikater til 458 dage. Som forberedelse, SSL.com begyndte at håndhæve denne 458-dages grænse for certifikatudstedelse fra den 27. februar 2026. Denne ændring påvirker ikke den samlede købsperiode for en kundes ordre, men individuelle certifikater udstedt inden for denne periode skal muligvis genudstedes oftere. Kunder vil stadig modtage den fulde værdi af deres køb, selvom hvert certifikat vil have en kortere levetid. Denne opdatering er obligatorisk på tværs af alle offentligt betroede certifikatmyndigheder og er designet til at forbedre sikkerheden ved at reducere risikoeksponering og forbedre kryptografisk fleksibilitet.

Denne webside giver instruktioner om brug af en SSL.com OV or EV kodesigneringscertifikat med Microsofts SignTool og SSL.com's SSL Manager.

Disse instruktioner antager, at dit kodesigneringscertifikat er blevet installeret, eller at du har det på et hardwaretoken. For cloud-baseret kodesignering ved hjælp af eSigner-platformen, se venligst Oversigt side og dette tilmeldingsvejledning.

Husk, at for hardware-baserede OV- og EV-kodesigneringscertifikater den private nøgle findes kun på YubiKey FIPS USB-token der blev sendt til dig og at symbolet skal vedhæftes til computeren, der bruges til at underskrive applikationen. Windows-brugere med YubiKey FIPS-tokens skal også downloade og installere YubiKey Smart Card Minidriver inden du bruger deres token.

OV og EV-kodesigneringscertifikater bør ikke installeres manuelt på din computer, hvilket kan forårsage konfigurationsproblemer. Certifikater afsendt på YubiKeys fra SSL.com kan bruges uden yderligere installation ud over installationen af YubiKey Smart Card Minidriver og forbinder tokenet til din computer. Certifikater bestilt via fjernattest skal downloades og installeres på den enhed, der indeholder den private nøgle (f.eks. YubiKey FIPS eller anden understøttet hardware), ikke din computers certifikatlager.
Hvis du planlægger at underskrive Windows 10-drivere med et EV-kodesigneringscertifikat, skal du register med Windows Hardware Developer Program.
For instruktioner om brug af dit OV / IV- eller EV-kodesigneringscertifikat med Java, se vores Guide til Java-kodesignering.

Signering af en eksekverbar fil med Yubikey

Installer Windows SDK og SignTool

SignTool er inkluderet i Windows 10 SDK. Efter installationen vil SignTool være placeret under:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

Få adgang til SignTool via Powershell eller kommandoprompt

Adgang til SignTool er den første del af kommandoerne både i underskrive din fil og verificere den digitale signatur. Både Powershell og kommandoprompt kan bruges til at få adgang til SignTool. 

Afhængigt af den Windows OS-version og Windows SDK-version, du bruger, vil adgangen til SignTool variere. En af følgende muligheder vil blive inkluderet som den første del af kommandoen: 

  1. .\signtool.exe
  2. .\signtool
  3. skilteværktøj
  4. signtool.exe
  5. "C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86\signtool.exe"

Husk, at den private nøgle kun findes på den USB-token, der blev sendt til dig og det token skal vedhæftes til computer, der bruges til at signere ansøgningen. 

Tilmeld eksekverbar

Du kan signere en eksekverbar fil ved at udstede følgende kommando i Powershell-vinduet. 

. \ signtool.exe tegn / fd sha256 / a "C: \ sti \ til \ MyExecutable.exe"
  • /fd option vælger den fordøjelsesalgoritme, der skal bruges, når du underskriver. Windows 10 SDK, HLK, WDK og ADK bygger 20236 og derover kræver, at denne indstilling er indstillet ved underskrift. SHA256 anbefales fremfor SHA1 for sikkerhed.
  • /a option instruerer SignTool til automatisk at finde et passende kodesigneringscertifikat til din eksekverbare.
  • Du vil blive bedt om din USB-tokens PIN-kode. Hvis du har brug for hjælp til at finde din PIN-kode, se venligst denne vej.Indtast PIN-kode
Bemærk: Hvis du underskriver kodefiler, der vil blive inkluderet i et installationsprogram (f.eks. En Windows MSI-fil), skal du underskrive disse filer, før du bygger installationsprogrammet og derefter underskrive selve installationsfilen.

Valg af et signeringscertifikat

Angiv emnets navn

Hvis du har mere end én kodesignering af USB-tokens eller -certifikater installeret, kan du gøre det angiv certifikatet du vil bruge ved at inkludere dens Emne navn via /n valgmulighed.

Du kan finde dit certifikats emnenavn ved hjælp af Microsofts certifikatstyringsværktøj certmgr. Åbn værktøjet fra Start-menuen og se efter dit certifikat i mappen "Personlig" under "Certifikater", som vist på billedet nedenfor. Emnenavnet er feltet "Udstedt til" i certmgr.

I ovenstående billede er certifikatets emne navn example. Du kan specificere denne værdi i SignTool med følgende kommando.

. \ signtool.exe tegn / fd sha256 / n "eksempel" "C: \ sti \ til \ MyExecutable.exe"

Angiv SHA1 Hash

Hvis du har flere certifikater med det samme emnenavn, kan du også bruge SHA1-hash (eller "thumbprint") for et certifikat til at vælge det til signering. Du kan finde denne værdi ved at følge disse instruktioner:

Åbn brugercertifikatlageret ved at skrive certmgr.msc i Windows-søgelinjen. Når vinduet Certificate Manager vises, skal du navigere til Personligt mappe i venstre panel, og vælg Certifikater undermappe til højre for at finde dit kodesigneringscertifikat.

Dobbeltklik på certifikatet, gå til Detaljer fanen, og rul ned for at finde Tommelfingerprint. Kopier tommelfingeraftrykket og inkluder det i din kommando, når du signerer koden. 

. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"

Bemærk: Der kan være tilfælde, hvor flere kodesigneringscertifikater med samme navn vises i butikken, fordi en bruger ejer flere USB-tokens. Hvis du ikke er sikker på, hvilken du skal vælge, skal du vælge den med serienummeret, der matcher det, der er angivet på din SSL.com ordredetaljer-side. Du vil sandsynligvis vælge certifikatet med den seneste udløbsdato. 

 For at bekræfte det certifikat, du skal bruge, skal du følge disse instruktioner:

  1. Log ind på din SSL.com-konto, og klik på Mine Ordrer fanen. Find din certifikatordre, og klik på downloade link for at vise detaljerne for dit certifikat. 

  2. Rul ned, og klik på SLUT ENHEDSCERTIFIKATER afsnit. Under Kodesigneringscertifikat underafsnit, vil du se serienummeret på dit certifikat.

  3. Udfør et krydstjek. Dobbeltklik på certifikatet i din computers Certificate Manager. Klik Detaljer. Tjek om serienumrene stemmer overens. 

Brug en PKCS # 12 / PFX-fil

Hvis du har et kodesigneringscertifikat og en privat nøgle i en PKCS # 12-fil (også kendt som en PFX- eller P12-fil), kan du angive filen og dens adgangskode på kommandolinjen:

. \ signtool.exe tegn / fd sha256 / f "C: \ sti \ til \ MyCertificate.pfx" / p adgangskode "C: \ sti \ til \ MyExecutable.exe"

Tidsstempling

Tidsstempling af din kode gør det muligt at stole på den, når dit kodesigneringscertifikat udløber. Hvis du vil tilføje en tidsstempel i den underskrevne binære fil kan du gøre det ved hjælp af SignTool's /tr option, som skal følges ved at indstille tidsstemplets fordøjelsesalgoritme med /td. Kommandoen i uddraget nedenfor inkluderer et tidsstempel fra SSL.com's tidsstempletjeneste, mens du underskriver en eksekverbar.

. \ signtool.exe tegn / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ sti \ til \ MyExecutable.exe"
Bemærk: Sørg for at bruge SignTool's /tr valgmulighed (angiv URL til RFC 3161-tidsstempleserver) ikke /t (URL til tidsstemplingsserver), som er inkompatibel med SSL.coms tidsstempel-server.
Bemærk: /td option skal følg /tr mulighed. Hvis tidsstemplets fordøjelsesalgoritme er specificeret før tidsstemplingsserveren, bruges standard SHA-1-algoritmen. Windows 10 SDK, HLK, WDK og ADK bygger 20236 og derover kræver brug af /tr ved tidsstempling. SHA256 anbefales over SHA1 for sikkerheds skyld.
Bemærk: Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.

Hvis du støder på denne fejl: The timestamp certificate does not meet a minimum public key length requirement, bør du kontakte din softwareleverandør for at tillade tidsstempler fra ECDSA-nøgler.

Hvis der ikke er nogen måde for din softwareleverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.

Andre muligheder

Andre vigtige indstillinger for SignTool er:

  • /d: Tilføj en beskrivelse af den underskrevne kode. For eksempel, /d "test code".
  • /du: Tilføj en URL med en udvidet beskrivelse af den underskrevne kode. For eksempel, /du https://your_website.tld/project/description.

Brug af alle ovenstående indstillinger (men udeladt /a, /sha1 eller /f fordi vi angiver certifikatets emne navn med /n, vores kommandolinie ser ud:

signtool.exe sign / n "eksempel" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "testkode" / du https: //your_website.tld/project/description "C: \ path \ til \ MyExecutable.exe"

Bekræft underskrift

Brug denne kommando til at bekræfte din underskrevne kode (bemærk, at /pa option skal være til stede i kommandoen):

. \ signtool.exe verificere / pa "C: \ sti \ til \ MyExecutable.exe"

Hvis din fil er blevet signeret med succes, skal du se output som denne:

Fil: C: \ sti \ til \ MyExecutable.exe Index Algoritme Tidsstempel ======================================= ===== 0 sha256 RFC3161 Bekræftet: C: \ sti \ til \ MyExecutable.exe

Du kan også kontrollere, at en fil er underskrevet ved at højreklikke på ikonet og vælge Ejendomme i menuen og derefter vælge Digitale signaturer fanen. Se detaljer om en signatur ved at vælge den og klikke på Detaljer .

Digitale signaturer

Her kan vi se, at filen indeholder en gyldig digital signatur oprettet af SSL Corp den 28. juni 2020.

Detaljer om digital signatur

Gå til top

Signering af en eksekverbar med SSL Manager

Hvis du foretrækker en mere grafikbaseret tilgang, kan du bruge SSL.com's interne software, SSL Manager, for at underskrive dine filer. Mange kunder foretrækker at bruge SSL Manager fordi det giver den ekstra fordel at have nem adgang til alle dine certifikater i en samlet grænseflade. For instruktioner om download og installation SSL Manager, se venligst vores installationsvejledning.

For at underskrive en eksekverbar skal du starte med at vælge Kodesignering> Sign & Timestamp Code Package fra SSL Managermenu.

Tegn & tidsstempel kodepakke

I formularen til kodesignering kan du vælge det eksekverbare og kodesigneringscertifikatet (enten fra en fil eller et certifikatlager) og en af ​​de tilgængelige tidsstempel-servere. Når du er færdig, skal du klikke på Tilmeld knappen for at signere din kode. Du vil blive bedt om din USB-tokens PIN-kode.

Udover kodesignering, SSL Manager tilbyder mange kraftfulde funktioner. For yderligere detaljer henvises til SSL Managerdokumentation, især den Kodesigneringsmenu.

Gå til top

Kodesignering med et Thales SafeNet (Gemalto) USB-token

Bemærk: SSL.com sender Thales SafeNet-tokens, der er forudinstalleret med kodesigneringscertifikater. Slet ikke noget materiale fra tokenet.

Dette afsnit viser, hvordan man signerer kode ved hjælp af SSL.com's kodesigneringscertifikat, Thales SafeNet (Gemalto) USB-token og Safenet Authentication Client. 

Thales SafeNet-tokenet kan gemme alle typer SSL.com-kodesigneringscertifikater og deres private nøgler. Disse omfatter signeringscertifikater for personlig identitetskode, certifikater til signering af organisationsvalideringskode og signeringscertifikater for udvidet valideringskode.

SafeNet Authentication Client er en middleware-løsning, der håndterer Thales' omfattende SafeNet-portefølje af certifikat-baserede autentificeringer. Dette inkluderer eTokens, SafeNet IDPrime smart cards, SafeNet IDPrime Virtual og kombineret PKI/FIDO-enheder.

For instruktioner om, hvordan du ændrer din kodesigneringsadgangskode for Thales SafeNet (Gemalto)-tokens eller genvinder adgang til et låst token, bedes du tjekke denne SSL.com-artikel: Sådan ændres din Thales SafeNet/Gemalto Token-adgangskode

Krav

  1. Windows udviklingssæt installeret på din computer
  2. SafeNet Authentication Client installeret på din computer. For instruktioner, se denne SSL.com-vejledning: SafeNet Authentication Client Download til kodesigneringscertifikater
  3. Et Thales SafeNet-token, der indeholder et SSL.com forudinstalleret kodesigneringscertifikat. Thales SafeNet-tokenet skal aktiveres ved at følge disse trin: 
    1. Find serienummeret på dit Thales-token. Dette er en række bogstaver og tal, der er trykt på overfladen af ​​dit token. 
    2. Log ind på din SSL.com-konto.
    3. Klik på knappen Mine Ordrer fanen efterfulgt af downloade link til din certifikatordre for at vise dens detaljer. På den fysiske symboler sektion, skal du aktivere dit Thales-token ved at placere dets serienummer i det tildelte felt. Ved aktivering af dit Thales-token vil fysiske symboler sektionen vil vise din Aktiverings-PIN og Administrator-PIN. Det Aktiverings-PIN er også kendt som Token adgangskode og du vil blive bedt om at indtaste dette, når du signerer din fil. De Administrator-PIN er også kendt som PUK - dette er påkrævet, når du indstiller en ny token-adgangskode i et låst token. 

Trin til at signere kode med et Thales SafeNet-token

  1. Tilslut din Thales SafeNet token til din computer. 
  2. Åbne Safenet Authentication Client.
  3. Konfigurer kommandoen til at signere din kode: 
    signtool sign /tr http://ts.ssl.com /td sha256 /fd sha256 /a "PATH_OF_FILE_TO_BE_SIGNED"
    Legende:
    /fd sha256 vælger den sammenfattende algoritme, der skal bruges ved signering.
    /tr http://ts.ssl.com angiver tidsstempelserveradressen
    /td sha256 specificerer tidsstemplets algoritme
    /a instruerer SignTool til automatisk at finde et passende kodesigneringscertifikat til din fil.
    signerbar filsti: Stien til din fil skal være omgivet af dobbelte anførselstegn.     Vær opmærksom på at inkludere navnet på din signerbare fil i stien. Eksempel: /test fil.dll

    Bemærk: Nogle brugere kan opleve denne fejl med sign-kommandoen: 'Signtool' genkendes ikke som en intern eller ekstern kommando, operativt program eller batchfil. Løsningen på denne fejl er at fjerne teksten skilteværktøj fra kommandoen og erstat den med stien til signtool.exe. Stien skal være omgivet af dobbelte anførselstegn.
     
    "C:\Program Files (x86)\Windows Kits\10\folder\folder\x86\signtool.exe" tegn /tr http://ts.ssl.com/ /td sha256 /fd sha256 /a "C:\ Brugere\Admin\Documents\testfiler\testfil.dll"
  4. Kør Kommandoprompt som administrator og placere tegnkommandoen. Tryk derefter på Indtast.

  5. Du vil se beskeden Færdig med at tilføje yderligere butik. Kort efter, vil du blive bedt om at placere din Token adgangskode. Som anført i Krav afsnittet ovenfor, er token-adgangskoden den samme som Aktiverings-PIN og dette kan ses via din SSL.com-certifikatbestillingsside. Klik på OK knappen for at afslutte kodesigneringen.

  6. Succes! Din fil er nu signeret. Kommandoprompt giver dig besked om den vellykkede signering. 

Muligheder for at signere kode

1. Angiv emnenavnet på certifikatet

Hvis du er i besiddelse af flere USB-tokens eller certifikater til kodesignering, kan du vælge, hvilket specifikt certifikat, der skal bruges, ved at inkorporere dets emnenavn gennem /n-indstillingen.

Du kan se emnenavnet på dit certifikat ved at klikke på tandhjulsikonet i SafeNet Authentication Client for at tillade en avanceret visning. Klik derefter på pilen for Brugercertifikater for at vise alle de certifikater, der er installeret i tokenet. Kopier navnet på det certifikat, du vil bruge.

Tegnkommandoen ved hjælp af /n mulighed ser ud som følgende. Emnenavnet på dit certifikat skal være omgivet af dobbelte anførselstegn. 

"PATH OF SIGNTOOL.EXE"-tegn /tr http://ts.ssl.com/ /td sha256 /fd sha256 /n "EMNENAVN PÅ CERTIFIKAT" "PATH_OF_FILE_TO_BE_SIGNED"

2. Angiv certifikatets tommelfingeraftryk

Hvis du er i besiddelse af flere certifikater med identiske emnenavne, kan du skelne mellem og vælge et til signering ved at bruge dets SHA1-hash, almindeligvis omtalt som "thumbprint". For at gøre dette skal du erstatte TUMMEPRINT i den følgende kommando med den faktiske SHA1-hash for dit certifikat.

Du kan se tommelfingeraftryksværdien for dit certifikat ved at klikke på tandhjulsikonet i SafeNet Authentication Client for at tillade en avanceret visning. Klik derefter på pilen for Brugercertifikater. Dobbeltklik på det certifikat, du vil bruge. Klik på Detaljer fanen. Rul til sidst ned til Tommelfingerprint felt. 


I tegnkommandoen skal du erstatte teksten TUMMEPRINT med den faktiske værdi af dit certifikats tommelfingeraftryk. 

"PATH OF SIGNTOOL.EXE"-tegn /tr http://ts.ssl.com/ /td sha256 /fd sha256 /SHA1 THUMBPRINT "PATH_OF_FILE_TO_BE_SIGNED"

Bekræft signaturen

Du kan kontrollere den anvendte digitale signatur ved at højreklikke på den signerede fil for at se dens egenskaber. 

  1. Klik på knappen Digitale signaturer fanen. Hold musen hen til Underskriftsliste og klik på det viste navn på dit certifikat for at fremhæve det. Klik på Detaljer boks for at fortsætte. 

  2. Du vil kunne se navnet på det certifikat, der blev brugt til at signere filen samt dato og klokkeslæt, hvor den blev underskrevet og tidsstemplet.

BEMÆRKPrivate nøgler til SSL-kodesigneringscertifikater kan ikke eksporteres, og certifikater kan ikke udstedes som .pfx-filer, der kan downloadesCertifikater skal genereres og opbevares ved hjælp af en godkendt sikker løsning, såsom en FIPS 140-2 valideret - YubiKey USB-token, SSL'er eSigner Cloud Signing Service, Eller en understøttet Cloud HSM.

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse
Beskyttelse af personlige oplysninger
SSL.com

Dette websted bruger cookies, så vi kan give dig den bedst mulige brugeroplevelse. Cookieoplysninger gemmes i din browser og udfører funktioner som at genkende dig, når du vender tilbage til vores websted og hjælpe vores team med at forstå, hvilke sektioner på webstedet du finder mest interessante og nyttige.

For mere information, se vores Cookie- og fortrolighedserklæring.

3. parts cookies

Denne hjemmeside bruger Google Analytics & Stattæller at indsamle anonyme oplysninger såsom antallet af besøgende på webstedet og de mest populære sider.

At holde disse cookies aktiveret hjælper os med at forbedre vores websted.

Vis detaljer
drevet af  GDPR Cookie-overholdelse