en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Utilisation de votre certificat de signature de code

Ce guide vous guidera tout au long de l'utilisation de votre SSL.com OV or EV certificat de signature de code avec Microsoft Outil de signature et SSL.com SSL Manager.

Ces instructions supposent que votre certificat de signature de code OV a été Installéou que vous disposez d'un certificat EV sur un jeton matériel. N'oubliez pas que pour les certificats de signature de code EV, la clé privée n'existe que sur le token USB FIPS YubiKey qui vous a été envoyé et que le jeton doit être attaché à l'ordinateur utilisé pour signer l'application. Les utilisateurs de Windows avec des jetons YubiKey FIPS doivent également télécharger et installer le Mini pilote de carte à puce YubiKey avant d'utiliser leur jeton.

Les certificats de signature de code EV ne doivent pas être installés manuellement sur votre ordinateur, ce qui peut entraîner des problèmes de configuration. Les certificats expédiés sur YubiKeys depuis SSL.com peuvent être utilisés sans installation supplémentaire au-delà de l'installation du Mini pilote de carte à puce YubiKey et connecter le token à votre ordinateur. Certificats commandés via attestation à distance doit être téléchargé et installé sur l'appareil contenant la clé privée (par exemple YubiKey FIPS ou autre matériel pris en charge), et non sur le magasin de certificats de votre ordinateur.
Si vous prévoyez de signer des pilotes Windows 10 avec un certificat de signature de code EV, vous devrez vous inscrire avec le programme de développement de matériel Windows.
Pour obtenir des instructions sur l'utilisation de votre certificat de signature de code OV / IV ou EV avec Java, veuillez consulter notre Guide de signature de code Java.

Signature d'un exécutable avec SignTool

installer Windows SDK et SignTool

SignTool est inclus avec SDK Windows 10. Après l'installation, SignTool sera situé sous:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

Démarrer Powershell

ou Powershell fenêtre de commande en recherchant «Powershell» dans le Démarrer menu et en cliquant sur l'application de bureau.

Powershell est une interface de ligne de commande vers les services de base de Windows. Vous pouvez l'utiliser pour exécuter SignTool et signer votre code.

Pour EV code signature, connectez votre jeton USB à votre ordinateur (si vous ne l'avez pas déjà fait).

N'oubliez pas que la clé privée n'existe que sur le jeton USB qui vous a été envoyé et que le jeton doit être attaché à l'ordinateur utilisé pour signer l'application. Cette étape doit être ignorée si vous utilisez un certificat de signature de code OV.

Signer Exécutable

Vous pouvez signer un exécutable en exécutant la commande suivante dans la fenêtre Powershell.

. \ signtool.exe sign / fd sha256 / a "C: \ chemin \ vers \ MyExecutable.exe"
  • Le /fd L'option sélectionne l'algorithme de résumé à utiliser lors de la signature. Versions Windows 10 SDK, HLK, WDK et ADK 20236 et ci-dessus exigent que cette option soit définie lors de la signature. SHA256 est recommandé par rapport à SHA1 pour la sécurité.
  • Le /a L'option indique à SignTool de trouver automatiquement un certificat de signature de code approprié pour votre exécutable.
  • Si vous utilisez un certificat de signature de code EV, vous serez invité à saisir le code PIN de votre jeton USB. Si vous avez besoin d'aide pour trouver votre code PIN, veuillez consulter ce mode d'emploi.Entrez le code PIN
A Noter: Si vous signez des fichiers de code qui seront inclus dans un programme d'installation (tel qu'un fichier MSI Windows), vous devrez signer ces fichiers avant de créer le programme d'installation, puis signer le fichier d'installation lui-même.

Sélection d'un certificat de signature

Spécifiez le nom du sujet

Si vous disposez de plusieurs codes de signature de jetons USB ou de certificats installés, vous pouvez spécifier le certificat vous souhaitez utiliser en incluant son Nom du sujet via le /n option.

Vous pouvez trouver le nom du sujet de votre certificat EV CS à l'aide de l'outil de gestion des certificats de Microsoft certmgr. Ouvrez l'outil à partir du menu Démarrer et recherchez votre certificat EV CS dans le dossier «Personnel», sous «Certificats», comme indiqué dans l'image ci-dessous. Le nom du sujet est le champ «Émis à» dans certmgr.

Dans l'image ci-dessus, le nom du sujet du certificat est example. Vous pouvez spécifier cette valeur dans SignTool avec la commande suivante.

. \ signtool.exe sign / fd sha256 / n "exemple" "C: \ chemin \ vers \ MyExecutable.exe"

Spécifier le hachage SHA1

Si vous avez plusieurs certificats avec le même nom de sujet, vous pouvez également utiliser le hachage SHA1 (ou «empreinte numérique») d'un certificat pour le sélectionner pour la signature. Remplacer THUMBPRINT dans la commande ci-dessous avec le hachage SHA1 réel de votre certificat. Vous pouvez trouver cette valeur en affichant les détails du certificat dans certmgr et en recherchant le Thumbprint (assurez-vous de supprimer tous les espaces de l'empreinte numérique avant de l'utiliser dans votre commande).

. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ chemin \ vers \ MyExecutable.exe"

Utilisez un fichier PKCS # 12 / PFX

Si vous avez un certificat de signature de code et une clé privée dans un fichier PKCS # 12 (également appelé fichier PFX ou P12), vous pouvez spécifier le fichier et son mot de passe sur la ligne de commande:

. \ signtool.exe sign / fd sha256 / f "C: \ chemin \ vers \ MyCertificate.pfx" / p mot de passe "C: \ chemin \ vers \ MyExecutable.exe"

Horodatage

L'horodatage de votre code lui permettra d'être approuvé après l'expiration de votre certificat de signature de code. Si vous souhaitez ajouter un horodatage dans le fichier binaire signé, vous pouvez le faire en utilisant SignTool /tr , qui doit être suivie de la définition de l'algorithme de résumé d'horodatage avec /td. La commande dans l'extrait ci-dessous inclut un horodatage de SSL.comservice d'horodatage lors de la signature d'un exécutable.

. \ signtool.exe sign / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ chemin \ vers \ MyExecutable.exe"
A Noter: Assurez-vous d'utiliser SignTool /tr option (spécifier l'URL du serveur d'horodatage RFC 3161), pas /t (URL du serveur d'horodatage), incompatible avec le serveur d'horodatage de SSL.com.
A Noter: Le /td option doivent suivre l' /tr option. Si l'algorithme de résumé d'horodatage est spécifié avant le serveur d'horodatage, l'algorithme SHA-1 par défaut sera utilisé. Versions Windows 10 SDK, HLK, WDK et ADK 20236 et ci-dessus nécessitent l'utilisation de /tr lors de l'horodatage. SHA256 est recommandé par rapport à SHA1 pour la sécurité.

Autres Options

Les autres options importantes de SignTool sont:

  • /d: Ajoutez une description du code signé. Par exemple, /d "test code".
  • /du: Ajoutez une URL avec une description détaillée du code signé. Par exemple, /du https://your_website.tld/project/description.

Utiliser toutes les options ci-dessus (mais en omettant /a, /sha1ou /f car nous spécifions le nom du sujet du certificat avec /n, notre ligne de commande ressemble à:

signtool.exe sign / n "exemple" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test code" / du https: //votre_site_web.tld/project/description "C: \ chemin \ vers \ MyExecutable.exe "

Vérifier la signature

Utilisez cette commande pour vérifier votre code signé (notez que le /pa l'option doit être présente dans la commande):

. \ signtool.exe verify / pa "C: \ chemin \ vers \ MyExecutable.exe"

Si votre fichier a été signé avec succès, vous devriez voir une sortie comme celle-ci:

Fichier: C: \ chemin \ vers \ MyExecutable.exe Horodatage de l'algorithme d'indexation ================================== ===== 0 sha256 RFC3161 Vérifié avec succès: C: \ chemin \ vers \ MyExecutable.exe

Vous pouvez également vérifier qu'un fichier a été signé en cliquant avec le bouton droit sur son icône et en sélectionnant Propriétés dans le menu, puis en sélectionnant Signatures numériques languette. Affichez les détails d'une signature en la sélectionnant et en cliquant sur le bouton Détails .

Signatures numériques

Ici, nous pouvons voir que le fichier contient une signature numérique valide, créée par SSL Corp le 28 juin 2020.

Détails de la signature numérique

Signature d'un exécutable avec SSL Manager

Si vous préférez une approche plus graphique, vous pouvez utiliser SSL.comle logiciel interne de SSL Manager, pour signer vos fichiers. De nombreux clients préfèrent utiliser SSL Manager car il offre l'avantage supplémentaire d'avoir un accès facile à tous vos certificats dans une interface unifiée. Pour obtenir des instructions sur le téléchargement et l'installation SSL Manager, veuillez vous référer à notre guide d'installation.

Pour signer un exécutable, commencez par sélectionner Signature de code> Paquet de codes de signature et d'horodatage à partir de SSL Managermenu de.

Paquet de code de signe et d'horodatage

Dans le formulaire de signature de code, vous pouvez sélectionner l'exécutable et le certificat de signature de code (à partir d'un fichier ou d'un magasin de certificats) et l'un des serveurs d'horodatage disponibles. Lorsque vous avez terminé, cliquez sur le Signer bouton pour signer votre code. Si vous chargez un certificat à partir d'un fichier PFX, vous devrez entrer le mot de passe du fichier. Si vous utilisez un certificat de signature de code EV, vous serez invité à saisir le code PIN de votre jeton USB.

Outre la signature de code, SSL Manager offre de nombreuses fonctionnalités puissantes. Pour plus de détails, veuillez consulter SSL Managerdocumentation de, en particulier le Menu de signature de code.

Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.

Comment Tos

Abonnez-vous à la newsletter SSL.com

Qu'est-ce que SSL /TLS?

Regardez la video

Abonnez-vous à la newsletter de SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com