Tämä verkkosivu sisältää ohjeet SSL.comin käyttämiseen OV or EV koodin allekirjoitusvarmenne Microsoftin SignToolilla ja SSL.com:illa SSL Manager.
Näissä ohjeissa oletetaan, että koodin allekirjoitusvarmenne on asennettu tai että sinulla on se laitteistotunnisteella. Lisätietoja pilvipohjaisesta koodin allekirjoittamisesta eSigner-alustalla on osoitteessa yleiskatsaus sivulla ja tämä ilmoittautumisopas.
Muista, että laitteistopohjaisissa OV- ja EV-koodin allekirjoitusvarmenteissa yksityinen avain on olemassa vain YubiKey FIPS USB-tokenissa joka lähetettiin sinulle ja että merkki on kiinnitettävä tietokoneelle, jota käytetään sovelluksen allekirjoittamiseen. Windows-käyttäjien, joilla on YubiKey FIPS -merkkejä, tulisi myös ladata ja asentaa YubiKey-älykortin minialusta ennen heidän tunnuksensa käyttöä.
Suoritettavan allekirjoittaminen SignToolilla
install Windows SDK ja SignTool
SignTool on mukana Windows 10 SDK. Asennuksen jälkeen SignTool sijaitsee alla:
C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe
Aloita PowerShell
Aloita PowerShell komentoikkuna etsimällä "Powershell" Aloita ja napsauttamalla työpöytäsovellusta.
Powershell on komentoriviliitäntä Windowsin ydinpalveluihin. Voit käyttää sitä SignToolin suorittamiseen ja koodin allekirjoittamiseen.
EV: lle koodi liitä USB-tunnus tietokoneeseesi (jos et ole jo tehnyt niin). Jos käytät eSigneriä, asenna eSigner Cloud Key Adapter
Muista, että yksityinen avain on olemassa vain sinulle lähetetyssä USB-tunnuksessa merkki on kiinnitettävä tietokoneelle, jota käytetään sovelluksen allekirjoittamiseen. Tämä vaihe tulisi ohittaa, jos käytät OV-koodin allekirjoitusvarmennetta.
Merkki suoritettavan
Voit allekirjoittaa suoritettavan tiedoston antamalla seuraavan komennon Powershell-ikkunassa. Jos käytät eSigner-pilviallekirjoitusta signtool.exe-tiedoston kanssa, muista asentaa se e-allekirjoittaja CKA
. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
- -
/fd
Vaihtoehto valitsee sulautusalgoritmin, jota käytetään allekirjoitettaessa. Windows 10 SDK-, HLK-, WDK- ja ADK-rakennelmat 20236 ja edellä vaatia tämän vaihtoehdon asettamisen allekirjoituksen yhteydessä. SHA256:ta suositellaan SHA1:n sijaan turvallisuuden vuoksi. - -
/a
-vaihtoehto kehottaa SignToolia etsimään automaattisesti sopivan koodin allekirjoitusvarmenteen suoritettavalle sovellukselle. - Jos käytät EV-koodin allekirjoitustodistusta, sinua pyydetään antamaan USB-tunnuksesi PIN-koodi. Jos tarvitset apua PIN-koodisi löytämisessä, katso tämä miten.
Allekirjoitustodistuksen valitseminen
Määritä aihe
Jos sinulla on asennettuna useita koodeja, jotka allekirjoittavat USB-tunnuksia tai varmenteita, voit tehdä sen määritä varmenne haluat käyttää sisällyttämällä sen Aiheen nimi kautta /n
vaihtoehto.
Löydät EV CS -varmenteen Aihe-nimen Microsoftin varmenteenhallintatyökalulla varmenne. Avaa työkalu Käynnistä-valikosta ja etsi EV CS -varmenne "Henkilökohtainen" -kansiosta "Sertifikaatit" -kohdasta, kuten alla olevassa kuvassa näkyy. Aiheen nimi on ”Myönnetty” -kenttä certmgr: ssä.
Yllä olevassa kuvassa varmenteen Aiheen nimi on example
. Voit määrittää tämän arvon SignToolissa seuraavalla komennolla.
. \ signtool.exe sign / fd sha256 / n "esimerkki" "C: \ path \ to \ MyExecutable.exe"
Määritä SHA1 Hash
Jos sinulla on useita varmenteita, joilla on sama Aiheen nimi, voit käyttää myös varmenteen SHA1-tiivistettä (tai "peukalonjälkeä") sen valitsemiseksi allekirjoittamista varten. Korvata THUMBPRINT
alla olevassa komennossa todellisen SHA1-hash-varmenteen kanssa. Löydät tämän arvon tarkastelemalla sertifikaatin tietoja certmgr: ssä ja etsimällä Thumbprint
kenttä (varmista ja poista kaikki välilyönnit sormenjäljestä, ennen kuin käytät sitä komennossa).
. \ signtool.exe-merkki / fd sha256 / sha1 PUMPANJÄRJESTYS "C: \ polku \ MyExecutable.exe-tiedostoon"
Käytä PKCS # 12 / PFX-tiedostoa
Jos sinulla on koodin allekirjoitusvarmenne ja yksityinen avain PKCS # 12-tiedostossa (tunnetaan myös nimellä PFX- tai P12-tiedosto), voit määrittää tiedoston ja sen salasanan komentorivillä:
. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p salasana "C: \ path \ to \ MyExecutable.exe"
Aikaleima
Koodisi aikaleima antaa sen luottaa sen jälkeen, kun koodin allekirjoitustodistus on vanhentunut. Jos haluat lisätä a aikaleima allekirjoitetussa binaaritiedostossa, voit tehdä sen SignToolin avulla /tr
vaihtoehto, jota tulisi seurata asettamalla aikaleiman yhteenvetoalgoritmi /td
. Alla olevan katkelman komento sisältää aikaleiman kohteesta SSL.comaikaleimapalvelun allekirjoitettaessa suoritettavaa tiedostoa.
. \ signtool.exe-merkki / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ polku \ MyExecutable.exe-tiedostoon"
/tr
vaihtoehto (määritä RFC 3161 -leimapalvelimen URL-osoite), emme /t
(Aikaleimapalvelimen URL-osoite), joka ei ole yhteensopiva SSL.com: n aikaleimapalvelimen kanssa./td
vaihtoehto täytyy seuraa /tr
vaihtoehto. Jos aikaleiman yhteenvetoalgoritmi määritetään ennen aikaleimapalvelinta, käytetään oletusarvoista SHA-1-algoritmia. Windows 10 SDK-, HLK-, WDK- ja ADK-rakennelmat 20236 ja edellä vaativat /tr
kun aikaleima. SHA256: ta suositellaan SHA1: n sijaan turvallisuuteen.Jos kohtaat tämän virheen:
The timestamp certificate does not meet a minimum public key length requirement
, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettä
http://ts.ssl.com/legacy
saadaksesi aikaleiman RSA-aikaleimayksiköstä.Muut vaihtoehdot
Muita tärkeitä SignTool-vaihtoehtoja ovat:
/d
: Lisää kuvaus allekirjoitetusta koodista. Esimerkiksi,/d "test code"
./du
: Lisää URL-osoite, jossa on laajennettu kuvaus allekirjoitetusta koodista. Esimerkiksi,/du https://your_website.tld/project/description
.
Käyttämällä kaikkia yllä olevia vaihtoehtoja (mutta jättämättä pois /a
, /sha1
tai /f
koska määritämme varmenteen Aiheen nimen kanssa /n
, komentorivi näyttää seuraavalta:
signtool.exe sign / n "esimerkki" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test code" / du https: //your_website.tld/project/description "C: \ path \ on \ MyExecutable.exe"
Tarkista allekirjoitus
Käytä tätä komentoa vahvistaaksesi allekirjoitetun koodisi (huomaa, että /pa
vaihtoehdon on oltava läsnä komennossa):
. \ signtool.exe tarkista / pa "C: \ path \ to \ MyExecutable.exe"
Jos tiedosto on allekirjoitettu onnistuneesti, sinun pitäisi nähdä tällainen lähtö:
Tiedosto: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp ===================================== ===== 0 sha256 RFC3161 Vahvistettu onnistuneesti: C: \ path \ to \ MyExecutable.exe
Voit myös varmistaa, että tiedosto on allekirjoitettu napsauttamalla hiiren kakkospainikkeella sen kuvaketta ja valitsemalla Kiinteistöt valikosta ja valitse sitten Digitaaliset allekirjoitukset välilehti. Tarkastele allekirjoituksen tietoja valitsemalla se ja napsauttamalla Lisätiedot painiketta.
Täällä voimme nähdä, että tiedosto sisältää kelvollisen digitaalisen allekirjoituksen, jonka on luonut SSL Corp 28. kesäkuuta 2020.
Suoritettavan allekirjoittaminen SSL Manager
Jos haluat mieluummin grafiikkapohjaisen lähestymistavan, jota voit käyttää SSL.comyrityksen sisäinen ohjelmisto, SSL Manager, allekirjoittaaksesi tiedostosi. Monet asiakkaat mieluummin käyttävät SSL Manager koska se tarjoaa lisäetu siitä, että sinulla on helppo pääsy kaikkiin varmenteisiisi yhtenäisessä käyttöliittymässä. Ohjeet lataamiseen ja asentamiseen SSL Manager, katso meidän Asennusohje.
Jos haluat allekirjoittaa suoritettavan, aloita valitsemalla Koodin allekirjoittaminen> Allekirjoita & aikaleima -koodipaketti alkaen SSL Manager: n valikko.
Koodin allekirjoituslomakkeessa voit valita suoritettavan ja koodin allekirjoittamisen varmenteen (joko tiedostosta tai varmenteiden varastosta) ja yhden käytettävissä olevista aikaleimapalvelimista. Kun olet valmis, napsauta Merkki -painiketta allekirjoittamaan koodisi. Jos lataat sertifikaattia PFX-tiedostosta, sinun on annettava tiedoston salasana. Jos käytät EV-koodin allekirjoitustodistusta, sinua pyydetään antamaan USB-tunnuksesi PIN-koodi.
Koodien allekirjoittamisen lisäksi SSL Manager tarjoaa monia tehokkaita ominaisuuksia. Katso lisätietoja SSL Managerasiakirjat, erityisesti Koodin allekirjoitusvalikko.