Αυτή η ιστοσελίδα παρέχει οδηγίες σχετικά με τη χρήση ενός SSL.com OV or EV Πιστοποιητικό υπογραφής κώδικα με το SignTool της Microsoft και το SSL.com SSL Manager.
Αυτές οι οδηγίες προϋποθέτουν ότι το πιστοποιητικό υπογραφής κώδικα έχει εγκατασταθεί ή ότι το έχετε σε διακριτικό υλικού. Για υπογραφή κώδικα που βασίζεται σε σύννεφο χρησιμοποιώντας την πλατφόρμα eSigner, ανατρέξτε στο σελίδα επισκόπησης και αυτό οδηγός εγγραφής.
Να θυμάστε ότι για πιστοποιητικά υπογραφής κωδικών OV και EV που βασίζονται σε υλικό το ιδιωτικό κλειδί υπάρχει μόνο στο διακριτικό YubiKey FIPS USB που σας εστάλη και ότι το διακριτικό πρέπει να επισυνάπτεται στον υπολογιστή που χρησιμοποιείται για την υπογραφή της εφαρμογής. Οι χρήστες Windows με διακριτικά YubiKey FIPS θα πρέπει επίσης να κάνουν λήψη και εγκατάσταση του Minidriver Smart Card YubiKey πριν χρησιμοποιήσουν το διακριτικό τους.
Υπογραφή ενός εκτελέσιμου με τον Yubikey
εγκαταστήστε Windows SDK και SignTool
Το SignTool περιλαμβάνεται στο Windows 10 SDK. Μετά την εγκατάσταση, το SignTool θα βρίσκεται κάτω από:
C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe
Αρχική Powershell
Ξεκινήστε ένα Powershell παράθυρο εντολών αναζητώντας το "Powershell" στο Αρχική μενού και κάνοντας κλικ στην εφαρμογή επιφάνειας εργασίας.
Το Powershell είναι μια διεπαφή γραμμής εντολών για τις βασικές υπηρεσίες των Windows. Μπορείτε να το χρησιμοποιήσετε για να εκτελέσετε το SignTool και να υπογράψετε τον κωδικό σας.
Για κωδικός υπογράφοντας, συνδέστε το διακριτικό USB στον υπολογιστή σας (αν δεν το έχετε κάνει ήδη). Εάν χρησιμοποιείτε eSigner, εγκαταστήστε Προσαρμογέας κλειδιού eSigner Cloud
Να θυμάστε ότι το ιδιωτικό κλειδί υπάρχει μόνο στο διακριτικό USB που σας έχει σταλεί και αυτό το διακριτικό πρέπει να επισυνάπτεται σε υπολογιστή που χρησιμοποιείται για την υπογραφή της εφαρμογής. Αυτό το βήμα θα πρέπει να παραλειφθεί εάν χρησιμοποιείτε πιστοποιητικό υπογραφής κώδικα OV.
Σημάδι Εκτελέσιμο
Μπορείτε να υπογράψετε ένα εκτελέσιμο αρχείο εκδίδοντας την ακόλουθη εντολή στο παράθυρο του Powershell. Εάν χρησιμοποιείτε το eSigner cloud signing με το signtool.exe, φροντίστε να το εγκαταστήσετε eSigner CKA
. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
- Η
/fd
Η επιλογή επιλέγει τον αλγόριθμο σύνοψης που θα χρησιμοποιηθεί κατά την υπογραφή. Windows 10 SDK, HLK, WDK και ADK 20236 και παραπάνω απαιτείται να οριστεί αυτή η επιλογή κατά την υπογραφή. Το SHA256 συνιστάται έναντι του SHA1 για ασφάλεια. - Η
/a
Η επιλογή δίνει εντολή στο SignTool να βρει αυτόματα ένα κατάλληλο πιστοποιητικό υπογραφής κώδικα για το εκτελέσιμο. - Θα σας ζητηθεί το PIN του διακριτικού USB σας. Εάν χρειάζεστε βοήθεια για την εύρεση του PIN σας, ανατρέξτε στο αυτό το πώς.
Επιλογή πιστοποιητικού υπογραφής
Καθορίστε το όνομα θέματος
Εάν έχετε εγκαταστήσει περισσότερα από ένα κωδικά USB ή πιστοποιητικά υπογραφής κωδικών, μπορείτε καθορίστε το πιστοποιητικό θέλετε να χρησιμοποιήσετε συμπεριλαμβάνοντας το Όνομα θέματος μέσω του /n
επιλογή.
Μπορείτε να βρείτε το όνομα θέματος του πιστοποιητικού σας χρησιμοποιώντας το εργαλείο διαχείρισης πιστοποιητικών της Microsoft πιστοποιητικό. Ανοίξτε το εργαλείο από το μενού Έναρξη και αναζητήστε το πιστοποιητικό σας στον φάκελο «Προσωπικά», στην περιοχή «Πιστοποιητικά», όπως φαίνεται στην παρακάτω εικόνα. Το όνομα θέματος είναι το πεδίο "Έκδοση προς" στο certmgr.
Στην παραπάνω εικόνα είναι το Όνομα Θέματος του πιστοποιητικού example
. Μπορείτε να καθορίσετε αυτήν την τιμή στο SignTool με την ακόλουθη εντολή.
. \ signtool.exe sign / fd sha256 / n "παράδειγμα" "C: \ path \ to \ MyExecutable.exe"
Καθορίστε το SHA1 Hash
Εάν έχετε πολλά πιστοποιητικά με το ίδιο όνομα θέματος, μπορείτε επίσης να χρησιμοποιήσετε το κατακερματισμό SHA1 (ή "αποτύπωμα") ενός πιστοποιητικού για να το επιλέξετε για υπογραφή. Αντικαθιστώ THUMBPRINT
στην παρακάτω εντολή με το πραγματικό SHA1 κατακερματισμό του πιστοποιητικού σας. Μπορείτε να βρείτε αυτήν την τιμή βλέποντας τις λεπτομέρειες του πιστοποιητικού στο certmgr και αναζητώντας το Thumbprint
πεδίο (βεβαιωθείτε και αφαιρέστε τυχόν διαστημικούς χαρακτήρες από το αποτύπωμα πριν τον χρησιμοποιήσετε στην εντολή σας).
. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"
Χρησιμοποιήστε ένα αρχείο PKCS # 12 / PFX
Εάν έχετε πιστοποιητικό υπογραφής κώδικα και ιδιωτικό κλειδί σε ένα αρχείο PKCS # 12 (επίσης γνωστό ως αρχείο PFX ή P12), μπορείτε να καθορίσετε το αρχείο και τον κωδικό πρόσβασης στη γραμμή εντολών:
. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p password "C: \ path \ to \ MyExecutable.exe"
Χρονική σήμανση
Η χρονική σήμανση του κωδικού σας θα επιτρέψει την αξιοπιστία της μετά τη λήξη του πιστοποιητικού υπογραφής κώδικα. Εάν θέλετε να προσθέσετε ένα timestamp στο υπογεγραμμένο δυαδικό αρχείο, μπορείτε να το κάνετε χρησιμοποιώντας το SignTool's /tr
επιλογή, την οποία πρέπει να ακολουθήσετε με τον καθορισμό του αλγορίθμου χρονικής σήμανσης /td
. Η εντολή στο παρακάτω απόσπασμα περιλαμβάνει μια χρονική σήμανση από SSL.comυπηρεσία χρονικής σήμανσης κατά την υπογραφή ενός εκτελέσιμου.
. \ signtool.exe sign / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ path \ to \ MyExecutable.exe"
/tr
επιλογή (καθορίστε τη διεύθυνση URL του διακομιστή χρονικών γραμματοσήμων RFC 3161), δεν /t
(URL του διακομιστή χρονικής σήμανσης), ο οποίος δεν είναι συμβατός με το διακομιστή χρονικής σήμανσης του SSL.com./td
επιλογή πρέπει ακολουθα το /tr
επιλογή. Εάν ο αλγόριθμος χρονικής σήμανσης έχει καθοριστεί πριν από το διακομιστή χρονικής σήμανσης, θα χρησιμοποιηθεί ο προεπιλεγμένος αλγόριθμος SHA-1. Windows 10 SDK, HLK, WDK και ADK 20236 και παραπάνω απαιτούν τη χρήση του /tr
κατά τη χρονική σήμανση. Συνιστάται το SHA256 έναντι του SHA1 για ασφάλεια.Εάν αντιμετωπίσετε αυτό το σφάλμα:
The timestamp certificate does not meet a minimum public key length requirement
, θα πρέπει να επικοινωνήσετε με τον προμηθευτή του λογισμικού σας για να επιτρέψετε χρονικές σημάνσεις από κλειδιά ECDSA.Εάν δεν υπάρχει τρόπος για τον προμηθευτή του λογισμικού σας να επιτρέψει τη χρήση του κανονικού τερματικού σημείου, μπορείτε να χρησιμοποιήσετε αυτό το παλαιού τύπου τελικό σημείο
http://ts.ssl.com/legacy
για να λάβετε μια χρονική σήμανση από μια μονάδα χρονοσήμανσης RSA.Άλλες επιλογές
Άλλες σημαντικές επιλογές SignTool είναι:
/d
: Προσθέστε μια περιγραφή του υπογεγραμμένου κώδικα. Για παράδειγμα,/d "test code"
./du
: Προσθέστε μια διεύθυνση URL με εκτεταμένη περιγραφή του υπογεγραμμένου κώδικα. Για παράδειγμα,/du https://your_website.tld/project/description
.
Χρησιμοποιώντας όλες τις παραπάνω επιλογές (αλλά παραλείποντας /a
, /sha1
, ή /f
επειδή καθορίζουμε το Όνομα Θέματος του πιστοποιητικού με /n
, η γραμμή εντολών μας μοιάζει με:
signtool.exe sign / n "example" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test code" / du https: //your_website.tld/project/description "C: \ path \ to \ MyExecutable.exe "
Επαλήθευση υπογραφής
Χρησιμοποιήστε αυτήν την εντολή για να επαληθεύσετε τον υπογεγραμμένο κωδικό σας (σημειώστε ότι το /pa
η επιλογή πρέπει να υπάρχει στην εντολή):
. \ signtool.exe verify / pa "C: \ path \ to \ MyExecutable.exe"
Εάν το αρχείο σας έχει υπογραφεί επιτυχώς, θα πρέπει να βλέπετε έξοδο ως εξής:
Αρχείο: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp =================================== ===== 0 sha256 RFC3161 Επαληθεύτηκε επιτυχώς: C: \ path \ to \ MyExecutable.exe
Μπορείτε επίσης να επαληθεύσετε ότι ένα αρχείο έχει υπογραφεί κάνοντας δεξί κλικ στο εικονίδιο του και επιλέγοντας Ιδιοκτησίες από το μενού και, στη συνέχεια, επιλέγοντας το Ψηφιακές υπογραφές αυτί. Δείτε λεπτομέρειες σχετικά με μια υπογραφή επιλέγοντας την και κάνοντας κλικ στο Περιγραφή κουμπί.
Εδώ μπορούμε να δούμε ότι το αρχείο περιέχει μια έγκυρη ψηφιακή υπογραφή, που δημιουργήθηκε από την SSL Corp στις 28 Ιουνίου 2020.
Υπογραφή ενός εκτελέσιμου με SSL Manager
Εάν προτιμάτε μια προσέγγιση με βάση τα γραφικά μπορείτε να χρησιμοποιήσετε SSL.comτο εσωτερικό λογισμικό, SSL Manager, για να υπογράψετε τα αρχεία σας. Πολλοί πελάτες προτιμούν να χρησιμοποιούν SSL Manager επειδή προσφέρει το πρόσθετο πλεονέκτημα της εύκολης πρόσβασης σε όλα τα πιστοποιητικά σας σε μια ενοποιημένη διεπαφή. Για οδηγίες σχετικά με τη λήψη και την εγκατάσταση SSL Manager, ανατρέξτε στο μας οδηγός εγκατάστασης.
Για να υπογράψετε ένα εκτελέσιμο, ξεκινήστε επιλέγοντας Υπογραφή κώδικα> Πακέτο κώδικα σήμανσης και χρονικής σήμανσης από SSL Managerμενού.
Στη φόρμα υπογραφής κώδικα, μπορείτε να επιλέξετε το εκτελέσιμο και το πιστοποιητικό υπογραφής κώδικα (είτε από αρχείο είτε από χώρο αποθήκευσης πιστοποιητικών) και έναν από τους διαθέσιμους διακομιστές χρονικής σήμανσης. Όταν τελειώσετε, κάντε κλικ στο Σημάδι κουμπί για να υπογράψετε τον κωδικό σας. Θα σας ζητηθεί το PIN του διακριτικού USB σας.
Εκτός από την υπογραφή κώδικα, SSL Manager προσφέρει πολλά ισχυρά χαρακτηριστικά. Για περισσότερες λεπτομέρειες, ανατρέξτε στο SSL Managerτεκμηρίωση, ειδικά το Μενού υπογραφής κώδικα.
Υπογραφή κώδικα με διακριτικό USB Thales SafeNet (Gemalto).
Αυτή η ενότητα παρουσιάζει τον τρόπο υπογραφής κώδικα χρησιμοποιώντας το πιστοποιητικό υπογραφής κώδικα του SSL.com, το διακριτικό USB Thales SafeNet (Gemalto) και τον πελάτη ελέγχου ταυτότητας Safenet.
Το διακριτικό Thales SafeNet μπορεί να αποθηκεύσει όλους τους τύπους πιστοποιητικών υπογραφής κώδικα SSL.com και τα ιδιωτικά τους κλειδιά. Αυτά περιλαμβάνουν πιστοποιητικά υπογραφής κωδικού προσωπικής ταυτότητας, πιστοποιητικά υπογραφής κωδικού επικύρωσης οργανισμού και πιστοποιητικά υπογραφής κωδικού εκτεταμένης επικύρωσης.
Το SafeNet Authentication Client είναι μια λύση ενδιάμεσου λογισμικού που χειρίζεται το ολοκληρωμένο χαρτοφυλάκιο SafeNet με πιστοποιητικά ελέγχου ταυτότητας της Thales. Αυτό περιλαμβάνει eTokens, έξυπνες κάρτες SafeNet IDPrime, SafeNet IDPrime Virtual και συνδυασμένες PKIΣυσκευές /FIDO.
Για οδηγίες σχετικά με τον τρόπο αλλαγής του κωδικού πρόσβασης υπογραφής κωδικού για μάρκες Thales SafeNet (Gemalto) ή για την ανάκτηση πρόσβασης σε ένα κλειδωμένο διακριτικό, ανατρέξτε σε αυτό το άρθρο του SSL.com: Πώς να αλλάξετε τον κωδικό πρόσβασης Thales SafeNet/Gemalto Token
απαιτήσεις
- Κιτ ανάπτυξης Windows εγκατεστημένο στον υπολογιστή σας
- Το SafeNet Authentication Client είναι εγκατεστημένο στον υπολογιστή σας. Για οδηγίες, ανατρέξτε σε αυτόν τον οδηγό SSL.com: Λήψη προγράμματος-πελάτη ελέγχου ταυτότητας SafeNet για πιστοποιητικά υπογραφής κώδικα
- Ένα διακριτικό Thales SafeNet που περιέχει ένα προεγκατεστημένο πιστοποιητικό υπογραφής κώδικα SSL.com. Το διακριτικό Thales SafeNet πρέπει να ενεργοποιηθεί ακολουθώντας αυτά τα βήματα:
- Εντοπίστε τον σειριακό αριθμό του διακριτικού Thales. Αυτή είναι μια σειρά από γράμματα και αριθμούς που είναι τυπωμένα στην επιφάνεια του διακριτικού σας.
- Συνδεθείτε στον λογαριασμό σας SSL.com.
- Κάντε κλικ στο Παραγγελιες καρτέλα, ακολουθούμενο από το κατεβάσετε σύνδεσμο της παραγγελίας πιστοποιητικού σας για να εμφανίσετε τα στοιχεία του. Στο φυσικά διακριτικά ενότητα, ενεργοποιήστε το διακριτικό Thales τοποθετώντας τον αύξοντα αριθμό του στο εκχωρημένο πεδίο. Με την ενεργοποίηση του κουπονιού Thales, το φυσικά διακριτικά ενότητα θα εμφανίσει το δικό σας PIN ενεργοποίησης και PIN διαχειριστή. ο PIN διαχειριστή είναι επίσης γνωστή ως Token Password και θα σας ζητηθεί να το εισάγετε κατά την υπογραφή του αρχείου σας.
Βήματα για την υπογραφή κώδικα με ένα διακριτικό SafeNet της Thales
- Συνδέστε το Token Thales SafeNet στον υπολογιστή σας.
- Ανοικτό Πελάτης ελέγχου ταυτότητας Safenet.
- Διαμορφώστε την εντολή για την υπογραφή του κωδικού σας:
signtool sign /tr http://ts.ssl.com /td sha256 /fd sha256 /a "PATH_OF_FILE_TO_BE_SIGNED"
Υπόμνημα:
/fd sha256 επιλέγει τον αλγόριθμο σύνοψης που θα χρησιμοποιηθεί κατά την υπογραφή.
/tr http://ts.ssl.com καθορίζει τη διεύθυνση διακομιστή χρονικής σήμανσης
/td sha256 καθορίζει τον αλγόριθμο σύνοψης χρονικής σήμανσης
/a δίνει εντολή στο SignTool να βρει αυτόματα ένα κατάλληλο πιστοποιητικό υπογραφής κώδικα για το αρχείο σας.
διαδρομή αρχείου με σηματοδότηση: Η διαδρομή του αρχείου σας θα πρέπει να περικλείεται σε διπλά εισαγωγικά. Προσέξτε να συμπεριλάβετε το όνομα του αρχείου με δυνατότητα υπογραφής στη διαδρομή. Παράδειγμα: /test file.dll
Σημείωση: Ορισμένοι χρήστες ενδέχεται να αντιμετωπίσουν αυτό το σφάλμα με την εντολή υπογραφή: Το 'Signtool' δεν αναγνωρίζεται ως εσωτερική ή εξωτερική εντολή, λειτουργικό πρόγραμμα ή αρχείο δέσμης. Η λύση σε αυτό το σφάλμα είναι να αφαιρέσετε το κείμενο εργαλείο πινακίδας από την εντολή και αντικαταστήστε την με τη διαδρομή για το signtool.exe. Η διαδρομή θα πρέπει να περικλείεται σε διπλά εισαγωγικά.
"C:\Program Files (x86)\Windows Kits\10\folder\folder\x86\signtool.exe" σύμβολο /tr http://ts.ssl.com/ /td sha256 /fd sha256 /a "C:\ Users\Admin\Documents\test files\test file.dll"
- τρέξιμο Γραμμή εντολών ως διαχειριστής και τοποθετήστε την εντολή σημάδι. Στη συνέχεια, πατήστε εισάγετε.
- Θα δείτε το μήνυμα Ολοκληρώθηκε η προσθήκη επιπλέον καταστήματος. Λίγο μετά, θα σας ζητηθεί να τοποθετήσετε το δικό σας Token Password. Όπως αναφέρεται στο απαιτήσεις παραπάνω, ο κωδικός πρόσβασης Token είναι ο ίδιος με τον κωδικό πρόσβασης PIN διαχειριστή και αυτό μπορεί να προβληθεί μέσω της σελίδας παραγγελίας πιστοποιητικού SSL.com. Κάντε κλικ στο OK κουμπί για να οριστικοποιήσετε την υπογραφή κώδικα.
- Επιτυχία! Το αρχείο σας είναι τώρα υπογεγραμμένο. Η γραμμή εντολών θα σας ειδοποιήσει για την επιτυχή υπογραφή.
Επιλογές για την υπογραφή κώδικα
1. Καθορίστε το όνομα θέματος του Πιστοποιητικού
Εάν διαθέτετε πολλαπλά διακριτικά ή πιστοποιητικά USB υπογραφής κωδικού, μπορείτε να επιλέξετε ποιο συγκεκριμένο πιστοποιητικό θα χρησιμοποιήσετε ενσωματώνοντας το Όνομα θέματος μέσω της επιλογής /n.
Μπορείτε να προβάλετε το όνομα θέματος του πιστοποιητικού σας κάνοντας κλικ στο εικονίδιο με το γρανάζι στο SafeNet Authentication Client για να επιτρέψετε μια Προηγμένη προβολή. Στη συνέχεια, κάντε κλικ στο βέλος για Πιστοποιητικά χρήστη για να εμφανίσετε όλα τα πιστοποιητικά που είναι εγκατεστημένα στο διακριτικό. Αντιγράψτε το όνομα του πιστοποιητικού που θέλετε να χρησιμοποιήσετε.
Η εντολή sign χρησιμοποιώντας το /n
η επιλογή μοιάζει με την ακόλουθη. Το όνομα θέματος του πιστοποιητικού σας θα πρέπει να περικλείεται σε διπλά εισαγωγικά.
Πινακίδα "PATH OF SIGNTOOL.EXE" /tr http://ts.ssl.com/ /td sha256 /fd sha256 /n "ΕΠΩΝΥΜΙΑ ΘΕΜΑΤΟΣ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ" "PATH_OF_FILE_TO_BE_SIGNED"
2. Καθορίστε το αποτύπωμα πιστοποιητικού
Εάν διαθέτετε πολλά πιστοποιητικά που φέρουν πανομοιότυπα ονόματα θεμάτων, μπορείτε να διακρίνετε και να επιλέξετε ένα για υπογραφή χρησιμοποιώντας τον κατακερματισμό του SHA1, που συνήθως αναφέρεται ως "αποτύπωμα". Για να το κάνετε αυτό, αντικαταστήστε ΑΝΤΙΚΡΑΤΙΚΟ στην ακόλουθη εντολή με τον πραγματικό κατακερματισμό SHA1 του πιστοποιητικού σας.
Μπορείτε να προβάλετε την τιμή του αποτυπώματος του πιστοποιητικού σας κάνοντας κλικ στο εικονίδιο με το γρανάζι στο SafeNet Authentication Client για να επιτρέψετε μια Προηγμένη προβολή. Στη συνέχεια, κάντε κλικ στο βέλος για Πιστοποιητικά χρήστη. Κάντε διπλό κλικ στο πιστοποιητικό που θέλετε να χρησιμοποιήσετε. Κάντε κλικ στο Περιγραφή αυτί. Τέλος, μετακινηθείτε προς τα κάτω στο Αποτύπωση τομέα.
Στην εντολή σημάδι, αντικαταστήστε το κείμενο ΑΝΤΙΚΡΑΤΙΚΟ με την πραγματική αξία του αποτυπώματος του πιστοποιητικού σας.
Πινακίδα "PATH OF SIGNTOOL.EXE" /tr http://ts.ssl.com/ /td sha256 /fd sha256 /SHA1 THUMBPRINT "PATH_OF_FILE_TO_BE_SIGNED"
Επαληθεύστε την Υπογραφή
Μπορείτε να ελέγξετε την εφαρμοζόμενη ψηφιακή υπογραφή κάνοντας δεξί κλικ στο υπογεγραμμένο αρχείο για να δείτε τις ιδιότητές του.
- Κάντε κλικ στο Ψηφιακές υπογραφές αυτί. Τοποθετήστε το ποντίκι σας στο Λίστα υπογραφών και κάντε κλικ στο εμφανιζόμενο όνομα του πιστοποιητικού σας για να το επισημάνετε. Κάντε κλικ στο Περιγραφή πλαίσιο για να προχωρήσετε.
- Θα μπορείτε να δείτε το όνομα του πιστοποιητικού που χρησιμοποιήθηκε για την υπογραφή του αρχείου καθώς και την ημερομηνία και την ώρα που υπογράφηκε και σφραγίστηκε.