Koodin allekirjoitusvarmenteen käyttäminen

Tämä verkkosivu sisältää ohjeet SSL.comin käyttämiseen OV or EV koodin allekirjoitusvarmenne Microsoftin SignToolilla ja SSL.com:illa SSL Manager.

Näissä ohjeissa oletetaan, että koodin allekirjoitusvarmenne on asennettu tai että sinulla on se laitteistotunnisteella. Lisätietoja pilvipohjaisesta koodin allekirjoittamisesta eSigner-alustalla on osoitteessa yleiskatsaus sivulla ja tämä ilmoittautumisopas.

Muista, että laitteistopohjaisissa OV- ja EV-koodin allekirjoitusvarmenteissa yksityinen avain on olemassa vain YubiKey FIPS USB-tokenissa joka lähetettiin sinulle ja että merkki on kiinnitettävä tietokoneelle, jota käytetään sovelluksen allekirjoittamiseen. Windows-käyttäjien, joilla on YubiKey FIPS -merkkejä, tulisi myös ladata ja asentaa YubiKey-älykortin minialusta ennen heidän tunnuksensa käyttöä.

OV ja EV-koodin allekirjoitusvarmenteita ei tule asentaa manuaalisesti tietokoneellesi, mikä voi aiheuttaa määritysongelmia. SSL: n YubiKeys-palveluun lähetettyjä varmenteita voidaan käyttää ilman lisäasennuksia YubiKey-älykortin minialusta ja liittämällä tunnuksen tietokoneeseesi. Sertifikaatit tilattu kautta etätodistus tulee ladata ja asentaa laitteeseen, joka sisältää yksityisen avaimen (esim. YubiKey FIPS tai muu tuettu laitteisto), ei tietokoneen varmennesäilöön.
Jos aiot allekirjoittaa Windows 10 -ohjaimet EV-koodin allekirjoitusvarmenteella, sinun on tehtävä ilmoittautua Windows Hardware Developer -ohjelman kanssa.
Katso ohjeet OV / IV- tai EV-koodin allekirjoitusvarmenteen käyttämisestä Java-sovelluksen kanssa Java-koodin allekirjoittamisopas.

Suoritettavan allekirjoittaminen SignToolilla

install Windows SDK ja SignTool

SignTool on mukana Windows 10 SDK. Asennuksen jälkeen SignTool sijaitsee alla:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

Aloita PowerShell

Aloita PowerShell komentoikkuna etsimällä "Powershell" Aloita ja napsauttamalla työpöytäsovellusta.

Powershell on komentoriviliitäntä Windowsin ydinpalveluihin. Voit käyttää sitä SignToolin suorittamiseen ja koodin allekirjoittamiseen.

EV: lle koodi liitä USB-tunnus tietokoneeseesi (jos et ole jo tehnyt niin). Jos käytät eSigneriä, asenna eSigner Cloud Key Adapter

Muista, että yksityinen avain on olemassa vain sinulle lähetetyssä USB-tunnuksessa merkki on kiinnitettävä tietokoneelle, jota käytetään sovelluksen allekirjoittamiseen. Tämä vaihe tulisi ohittaa, jos käytät OV-koodin allekirjoitusvarmennetta.

Merkki suoritettavan

Voit allekirjoittaa suoritettavan tiedoston antamalla seuraavan komennon Powershell-ikkunassa. Jos käytät eSigner-pilviallekirjoitusta signtool.exe-tiedoston kanssa, muista asentaa se e-allekirjoittaja CKA

. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
  • - /fd Vaihtoehto valitsee sulautusalgoritmin, jota käytetään allekirjoitettaessa. Windows 10 SDK-, HLK-, WDK- ​​ja ADK-rakennelmat 20236 ja edellä vaatia tämän vaihtoehdon asettamisen allekirjoituksen yhteydessä. SHA256:ta suositellaan SHA1:n sijaan turvallisuuden vuoksi.
  • - /a -vaihtoehto kehottaa SignToolia etsimään automaattisesti sopivan koodin allekirjoitusvarmenteen suoritettavalle sovellukselle.
  • Jos käytät EV-koodin allekirjoitustodistusta, sinua pyydetään antamaan USB-tunnuksesi PIN-koodi. Jos tarvitset apua PIN-koodisi löytämisessä, katso tämä miten.Anna PIN-koodi
Huomautus: Jos allekirjoitat asennustiedostoon sisällytettäviä kooditiedostoja (kuten Windows MSI -tiedosto), sinun on allekirjoitettava nämä tiedostot ennen asentajan rakentamista ja allekirjoitettava itse asennustiedosto.

Allekirjoitustodistuksen valitseminen

Määritä aihe

Jos sinulla on asennettuna useita koodeja, jotka allekirjoittavat USB-tunnuksia tai varmenteita, voit tehdä sen määritä varmenne haluat käyttää sisällyttämällä sen Aiheen nimi kautta /n vaihtoehto.

Löydät EV CS -varmenteen Aihe-nimen Microsoftin varmenteenhallintatyökalulla varmenne. Avaa työkalu Käynnistä-valikosta ja etsi EV CS -varmenne "Henkilökohtainen" -kansiosta "Sertifikaatit" -kohdasta, kuten alla olevassa kuvassa näkyy. Aiheen nimi on ”Myönnetty” -kenttä certmgr: ssä.

Yllä olevassa kuvassa varmenteen Aiheen nimi on example. Voit määrittää tämän arvon SignToolissa seuraavalla komennolla.

. \ signtool.exe sign / fd sha256 / n "esimerkki" "C: \ path \ to \ MyExecutable.exe"

Määritä SHA1 Hash

Jos sinulla on useita varmenteita, joilla on sama Aiheen nimi, voit käyttää myös varmenteen SHA1-tiivistettä (tai "peukalonjälkeä") sen valitsemiseksi allekirjoittamista varten. Korvata THUMBPRINT alla olevassa komennossa todellisen SHA1-hash-varmenteen kanssa. Löydät tämän arvon tarkastelemalla sertifikaatin tietoja certmgr: ssä ja etsimällä Thumbprint kenttä (varmista ja poista kaikki välilyönnit sormenjäljestä, ennen kuin käytät sitä komennossa).

. \ signtool.exe-merkki / fd sha256 / sha1 PUMPANJÄRJESTYS "C: \ polku \ MyExecutable.exe-tiedostoon"

Käytä PKCS # 12 / PFX-tiedostoa

Jos sinulla on koodin allekirjoitusvarmenne ja yksityinen avain PKCS # 12-tiedostossa (tunnetaan myös nimellä PFX- tai P12-tiedosto), voit määrittää tiedoston ja sen salasanan komentorivillä:

. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p salasana "C: \ path \ to \ MyExecutable.exe"

Aikaleima

Koodisi aikaleima antaa sen luottaa sen jälkeen, kun koodin allekirjoitustodistus on vanhentunut. Jos haluat lisätä a aikaleima allekirjoitetussa binaaritiedostossa, voit tehdä sen SignToolin avulla /tr vaihtoehto, jota tulisi seurata asettamalla aikaleiman yhteenvetoalgoritmi /td. Alla olevan katkelman komento sisältää aikaleiman kohteesta SSL.comaikaleimapalvelun allekirjoitettaessa suoritettavaa tiedostoa.

. \ signtool.exe-merkki / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ polku \ MyExecutable.exe-tiedostoon"
Huomautus: Käytä SignTool'sia /tr vaihtoehto (määritä RFC 3161 -leimapalvelimen URL-osoite), emme /t (Aikaleimapalvelimen URL-osoite), joka ei ole yhteensopiva SSL.com: n aikaleimapalvelimen kanssa.
Huomautus: - /td vaihtoehto täytyy seuraa /tr vaihtoehto. Jos aikaleiman yhteenvetoalgoritmi määritetään ennen aikaleimapalvelinta, käytetään oletusarvoista SHA-1-algoritmia. Windows 10 SDK-, HLK-, WDK- ​​ja ADK-rakennelmat 20236 ja edellä vaativat /tr kun aikaleima. SHA256: ta suositellaan SHA1: n sijaan turvallisuuteen.
Huomautus: Oletusarvoisesti SSL.com tukee ECDSA-avaimien aikaleimoja.

Jos kohtaat tämän virheen: The timestamp certificate does not meet a minimum public key length requirement, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.

Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettä http://ts.ssl.com/legacy saadaksesi aikaleiman RSA-aikaleimayksiköstä.

Muut vaihtoehdot

Muita tärkeitä SignTool-vaihtoehtoja ovat:

  • /d: Lisää kuvaus allekirjoitetusta koodista. Esimerkiksi, /d "test code".
  • /du: Lisää URL-osoite, jossa on laajennettu kuvaus allekirjoitetusta koodista. Esimerkiksi, /du https://your_website.tld/project/description.

Käyttämällä kaikkia yllä olevia vaihtoehtoja (mutta jättämättä pois /a, /sha1tai /f koska määritämme varmenteen Aiheen nimen kanssa /n, komentorivi näyttää seuraavalta:

signtool.exe sign / n "esimerkki" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test code" / du https: //your_website.tld/project/description "C: \ path \ on \ MyExecutable.exe"

Tarkista allekirjoitus

Käytä tätä komentoa vahvistaaksesi allekirjoitetun koodisi (huomaa, että /pa vaihtoehdon on oltava läsnä komennossa):

. \ signtool.exe tarkista / pa "C: \ path \ to \ MyExecutable.exe"

Jos tiedosto on allekirjoitettu onnistuneesti, sinun pitäisi nähdä tällainen lähtö:

Tiedosto: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp ===================================== ===== 0 sha256 RFC3161 Vahvistettu onnistuneesti: C: \ path \ to \ MyExecutable.exe

Voit myös varmistaa, että tiedosto on allekirjoitettu napsauttamalla hiiren kakkospainikkeella sen kuvaketta ja valitsemalla Kiinteistöt valikosta ja valitse sitten Digitaaliset allekirjoitukset välilehti. Tarkastele allekirjoituksen tietoja valitsemalla se ja napsauttamalla Lisätiedot painiketta.

Digitaaliset allekirjoitukset

Täällä voimme nähdä, että tiedosto sisältää kelvollisen digitaalisen allekirjoituksen, jonka on luonut SSL Corp 28. kesäkuuta 2020.

Digitaalisen allekirjoituksen tiedot

Siirry alkuun

Suoritettavan allekirjoittaminen SSL Manager

Jos haluat mieluummin grafiikkapohjaisen lähestymistavan, jota voit käyttää SSL.comyrityksen sisäinen ohjelmisto, SSL Manager, allekirjoittaaksesi tiedostosi. Monet asiakkaat mieluummin käyttävät SSL Manager koska se tarjoaa lisäetu siitä, että sinulla on helppo pääsy kaikkiin varmenteisiisi yhtenäisessä käyttöliittymässä. Ohjeet lataamiseen ja asentamiseen SSL Manager, katso meidän Asennusohje.

Jos haluat allekirjoittaa suoritettavan, aloita valitsemalla Koodin allekirjoittaminen> Allekirjoita & aikaleima -koodipaketti alkaen SSL Manager: n valikko.

Sign & Timestamp -koodipaketti

Koodin allekirjoituslomakkeessa voit valita suoritettavan ja koodin allekirjoittamisen varmenteen (joko tiedostosta tai varmenteiden varastosta) ja yhden käytettävissä olevista aikaleimapalvelimista. Kun olet valmis, napsauta Merkki -painiketta allekirjoittamaan koodisi. Jos lataat sertifikaattia PFX-tiedostosta, sinun on annettava tiedoston salasana. Jos käytät EV-koodin allekirjoitustodistusta, sinua pyydetään antamaan USB-tunnuksesi PIN-koodi.

Koodien allekirjoittamisen lisäksi SSL Manager tarjoaa monia tehokkaita ominaisuuksia. Katso lisätietoja SSL Managerasiakirjat, erityisesti Koodin allekirjoitusvalikko.

Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain keskustelulinkkiä tämän sivun oikeassa alakulmassa.

SSL-tukitiimi

Kaikki viestit

Aiheeseen liittyviä Kuinka Tos

Näytä kaikki kuinka Tos
Facebook Linkedin Twitter Youtube Github

Tilaa SSL.com -uutiskirje

Mikä on SSL /TLS?

Toista video

Tilaa SSL.com: n uutiskirje

Älä missaa uusia SSL.com -artikkeleita ja päivityksiä

Pysy ajan tasalla ja turvassa

SSL.com on maailman johtava kyberturvallisuuden johtaja, PKI ja digitaaliset sertifikaatit. Rekisteröidy saadaksesi viimeisimmät alan uutiset, vinkit ja tuoteilmoitukset SSL.com.

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.

Ota kysely