Ez a weboldal útmutatást nyújt az SSL.com használatához OV or EV kód aláíró tanúsítvány a Microsoft SignTool és SSL.com segítségével SSL Manager.
Ezek az utasítások feltételezik, hogy a kódaláíró tanúsítvány telepítve van, vagy hardveres jogkivonattal rendelkezik. Az eSigner platformot használó felhő alapú kódaláírással kapcsolatban tekintse meg a Áttekintés oldalon és ez a beiratkozási útmutató.
Ne feledje, hogy a hardver alapú OV és EV kód aláíró tanúsítványok esetében a privát kulcs csak a YubiKey FIPS USB tokenen létezik amit neked küldtek, és hogy a token csatolni kell a számítógépre, amelyet az alkalmazás aláírására használnak. A YubiKey FIPS tokennel rendelkező Windows felhasználóknak le kell tölteniük és telepíteniük kell a YubiKey Smart Card Minidriver mielőtt felhasználnák a tokenjüket.
Végrehajtható fájl aláírása a SignTool segítségével
felszerel Windows SDK és SignTool
A SignTool a csomag része Windows 10 SDK. A telepítés után a SignTool a következő helyen található:
C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe
Rajt PowerShell
Indítása PowerShell parancsablakot a „Powershell” kifejezésre keresve a Rajt menüt, és kattintson az asztali alkalmazásra.
A Powershell egy parancssori felület a Windows alapszolgáltatásaihoz. Használhatja a SignTool végrehajtására és a kód aláírására.
EV-hez kód aláírásakor csatlakoztassa az USB tokent a számítógépéhez (ha még nem tette meg). Ha eSignert használ, telepítse eSigner Cloud Key Adapter
Ne feledje, hogy a privát kulcs csak az Ön számára elküldött USB-tokennél létezik a tokent hozzá kell csatolni az alkalmazás aláírására használt számítógépre. Ezt a lépést ki kell hagyni, ha OV-kód aláíró tanúsítványt használ.
Jel Végrehajtható
A végrehajtható fájl aláírásához a következő parancsot adja ki a Powershell ablakban. Ha eSigner felhőalapú aláírást használ a signtool.exe fájllal, feltétlenül telepítse eSigner CKA
. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
- A
/fdopció kiválasztja az aláíráskor használandó összefoglaló algoritmust. A Windows 10 SDK, HLK, WDK és ADK buildek 20236 és újabb ezt az opciót aláíráskor be kell állítani. A biztonság érdekében az SHA256 ajánlott az SHA1 helyett. - A
/aopció arra utasítja a SignTool-t, hogy automatikusan keresse meg a megfelelő kód aláíró tanúsítványt a végrehajtható fájlhoz. - Ha EV-kód aláíró tanúsítványt használ, akkor az USB-token PIN-kódját kéri. Ha segítségre van szüksége a PIN-kód megtalálásában, kérjük, olvassa el a következőt: ez a hogyan.
Aláírási tanúsítvány kiválasztása
Adja meg a Tárgy nevét
Ha egynél több kód van aláírva az USB tokenekhez vagy tanúsítványokhoz, akkor ezt megteheti adja meg a tanúsítványt használni szeretné, ha belefoglalja a Tárgy neve keresztül /n opciót.
Az EV CS tanúsítvány Tárgynevét a Microsoft tanúsítványkezelő eszközével találhatja meg certmgr. Nyissa meg az eszközt a Start menüből, és keresse meg az EV CS tanúsítványát a „Személyes” mappában, a „Tanúsítványok” részben, az alábbi képen látható módon. A Tárgy neve a „Kiadva” mező a certmgr-ben.
A fenti képen a tanúsítvány Tárgy neve van example. Megadhatja ezt az értéket a SignTool alkalmazásban a következő paranccsal.
. \ signtool.exe sign / fd sha256 / n "példa" "C: \ path \ to \ MyExecutable.exe"
Adja meg az SHA1 Hash értéket
Ha több tanúsítványa van ugyanazzal a Tárgynévvel, akkor az igazolás SHA1 kivonatát (vagy „ujjlenyomatát”) is felhasználhatja az aláíráshoz. Cserélje ki THUMBPRINT az alábbi parancsban az aktuális SHA1 kivonatolással. Ezt az értéket a certmgr tanúsítvány részleteinek megtekintésével és az Thumbprint mező (mindenképpen távolítsa el a szóközöket az ujjlenyomatból, mielőtt felhasználná a parancsban).
. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ elérési út a \ MyExecutable.exe fájlhoz"
Használjon PKCS # 12 / PFX fájlt
Ha van egy kód-aláíró tanúsítvány és egy magánkulcs egy PKCS # 12 fájlban (más néven PFX vagy P12 fájl), akkor megadhatja a fájlt és annak jelszavát a parancssorban:
. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p jelszó "C: \ path \ to \ MyExecutable.exe"
Időbélyegzés
A kód időbélyegzése lehetővé teszi, hogy megbízható legyen a kód-aláíró tanúsítvány lejárta után. Ha hozzá akar adni egy időbélyeg az aláírt bináris fájlban a SignTool's segítségével teheti meg /tr opció, amelyet az időbélyeg-kivonat algoritmus beállításával kell követni /td. Az alábbi kódrészletben szereplő parancs tartalmaz egy időbélyeget SSL.comidőbélyegző szolgáltatása futtatható fájl aláírása közben.
. \ signtool.exe jel / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ elérési út a \ MyExecutable.exe fájlhoz"
/tr opció (adja meg az RFC 3161 időbélyegző-kiszolgáló URL-jét), nem /t (Az időbélyegző kiszolgáló URL-je), amely nem kompatibilis az SSL.com időbélyegző szerverével./td lehetőségek kell Kövesd a /tr választási lehetőség. Ha az időbélyeg-összefoglaló algoritmust az időbélyeg-kiszolgáló előtt adják meg, akkor az alapértelmezett SHA-1 algoritmust kell használni. A Windows 10 SDK, HLK, WDK és ADK buildek 20236 és újabb használatát megkövetelik /tr amikor az időbélyeget. Az SHA256 használata az SHA1 felett ajánlott a biztonság érdekében.Ha ezt a hibát tapasztalja:
The timestamp certificate does not meet a minimum public key length requirement, vegye fel a kapcsolatot a szoftver szállítójával, hogy engedélyezze az időbélyegeket az ECDSA-kulcsokból.Ha a szoftvergyártó nem tudja engedélyezni a normál végpont használatát, használhatja ezt a régi végpontot.
http://ts.ssl.com/legacy hogy időbélyeget kapjon egy RSA időbélyegző egységtől.Egyéb beállítások
További fontos SignTool lehetőségek:
/d: Adja hozzá az aláírt kód leírását. Például,/d "test code"./du: URL hozzáadása az aláírt kód kibővített leírásával. Például,/du https://your_website.tld/project/description.
Az összes fenti lehetőség használata (de kihagyása /a, /sha1vagy /f mert a tanúsítvány Tárgynevét azzal adjuk meg /n, parancssorunk így néz ki:
signtool.exe sign / n "example" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test code" / du https: //y_webhely.tld/project/description "C: \ path \ to \ MyExecutable.exe "
Ellenőrizze az aláírást
Ezzel a paranccsal ellenőrizheti az aláírt kódot (vegye figyelembe, hogy a /pa opciónak jelen kell lennie a parancsban):
. \ signtool.exe ellenőrizze / pa "C: \ path \ to \ MyExecutable.exe"
Ha a fájlodat sikeresen aláírták, akkor a következő kimenetet kell látnia:
Fájl: C: elérési út MyExecutable.exe index algoritmus időbélyegzőjéhez =================================== ===== 0 sha256 RFC3161 Sikeresen ellenőrizve: C: \ path \ to \ MyExecutable.exe
Azt is ellenőrizheti, hogy egy fájlt aláírtak-e, ha jobb gombbal kattint az ikonjára, és kiválasztja Ingatlanok a menüből, majd válassza a Digitális aláírások fülre. Az aláírás részleteinek megtekintéséhez válassza ki azt, majd kattintson a gombra Részletek gombot.
Itt láthatjuk, hogy a fájl érvényes digitális aláírást tartalmaz, amelyet az SSL Corp készített 28. június 2020-án.
Végrehajtható fájl aláírása a SSL Manager
Ha inkább egy grafikán alapuló megközelítést szerez, akkor ezt használhatja SSL.comházon belüli szoftvere, SSL Manager, hogy aláírja a fájljait. Sok ügyfél inkább használja SSL Manager mert további előnye, hogy egyszerűen hozzáférhet minden tanúsítványhoz egy egységes felületen. A letöltésre és a telepítésre vonatkozó utasításokat SSL Manager, kérjük, olvassa el a Telepítési útmutató.
Futtatható fájl aláírásához kezdje a kiválasztással Kód aláírás> Jel és időbélyegző kódcsomag ból ből SSL Managermenüje.
A kód aláírási űrlapon kiválaszthatja a végrehajtható és a kód aláíró tanúsítványt (akár fájlból, akár egy igazolástárolóból) és az elérhető időbélyegző-kiszolgálók egyikét. Ha kész, kattintson a gombra Jel gombra a kód aláírásához. Ha PFX fájlból tölt be tanúsítványt, meg kell adnia a fájl jelszavát. Ha EV kód aláíró tanúsítványt használ, akkor a rendszer kéri az USB token PIN kódját.
A kód aláírása mellett SSL Manager számos nagyteljesítményű funkciót kínál. További részletek: SSL Managerdokumentációja, különösen a Kód aláírás menü.
