en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Menggunakan Sertifikat Penandatanganan Kode Anda

Cara ini akan memandu Anda menggunakan SSL.com Anda OV or EV sertifikat penandatanganan kode dengan Microsoft Alat Tanda dan SSL.com SSL Manager.

Instruksi ini mengasumsikan bahwa sertifikat penandatanganan kode OV Anda telah diinstal, atau Anda memiliki sertifikat EV pada token perangkat keras. Ingat bahwa untuk sertifikat penandatanganan kode EV kunci pribadi hanya ada pada token YubiKey FIPS USB yang dikirimkan kepada Anda dan token itu harus dilampirkan ke komputer yang sedang digunakan untuk menandatangani aplikasi.

Sertifikat penandatanganan kode EV tidak boleh diinstal secara manual di komputer Anda, yang dapat menyebabkan masalah konfigurasi. Sertifikat yang dikirimkan pada YubiKeys dari SSL.com dapat digunakan tanpa instalasi tambahan selain menghubungkan token ke komputer Anda. Sertifikat dipesan melalui pengesahan jarak jauh harus diunduh dan diinstal pada perangkat yang berisi kunci pribadi (mis. YubiKey FIPS atau perangkat keras lain yang didukung), bukan penyimpanan sertifikat komputer Anda.
Jika Anda berencana untuk menandatangani driver Windows 10 dengan sertifikat penandatanganan kode EV, Anda harus melakukannya daftar dengan Program Pengembang Perangkat Keras Windows.
Untuk petunjuk tentang penggunaan sertifikat penandatanganan kode OV / IV atau EV dengan Java, lihat kami Panduan Penandatanganan Kode Java.

Menandatangani Executable dengan SignTool

memasang jendela SDK dan SignTool

SignTool disertakan dengan SDK Windows 10. Setelah instalasi, SignTool akan berlokasi di bawah:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

awal Powershell

Mulai Powershell jendela perintah dengan mencari "Powershell" di awal menu dan mengklik aplikasi desktop.

Powershell adalah antarmuka baris perintah ke layanan inti Windows. Anda dapat menggunakannya untuk menjalankan SignTool dan menandatangani kode Anda.

Untuk EV kode penandatanganan, pasang token USB Anda ke komputer Anda (jika Anda belum melakukannya).

Ingat bahwa kunci pribadi hanya ada pada token USB yang dikirimkan kepada Anda dan itu token harus dilampirkan ke komputer yang sedang digunakan untuk menandatangani aplikasi. Langkah ini harus dilewati jika Anda menggunakan sertifikat penandatanganan kode OV.

Menandatangani Dapat dieksekusi

Anda dapat menandatangani file yang dapat dieksekusi dengan mengeluarkan perintah berikut di jendela Powershell.

. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
  • The /fd opsi memilih algoritma intisari yang akan digunakan saat penandatanganan. Build Windows 10 SDK, HLK, WDK, dan ADK 20236 dan diatasnya memerlukan mengharuskan opsi ini disetel saat penandatanganan. SHA256 direkomendasikan daripada SHA1 untuk keamanan.
  • The /a Opsi menginstruksikan SignTool untuk secara otomatis menemukan sertifikat penandatanganan kode yang sesuai untuk eksekusi Anda.
  • Jika Anda menggunakan sertifikat penandatanganan kode EV, Anda akan diminta memasukkan PIN token USB Anda. Jika Anda membutuhkan bantuan untuk menemukan PIN Anda, silakan merujuk ke ini bagaimana caranya.Masukkan PIN
Catatan: Jika Anda menandatangani file kode yang akan disertakan dalam penginstal (seperti file MSI Windows), Anda harus menandatangani file ini sebelum membuat penginstal, lalu menandatangani file penginstal itu sendiri.

Memilih Sertifikat Penandatanganan

Tentukan Nama Subjek

Jika Anda memiliki lebih dari satu kode yang menandatangani token atau sertifikat USB terpasang, Anda dapat melakukannya tentukan sertifikat Anda ingin menggunakan dengan memasukkan Nama Subjek melalui /n pilihan.

Anda dapat menemukan Nama Subjek sertifikat EV CS menggunakan alat manajemen sertifikat Microsoft certmgr. Buka alat dari menu Start dan cari sertifikat EV CS Anda di folder "Personal", di bawah "Certificates", seperti yang ditunjukkan pada gambar di bawah. Nama Subjek adalah bidang "Dikeluarkan Untuk" di certmgr.

Pada gambar di atas, Nama Subjek sertifikat adalah example. Anda dapat menentukan nilai ini di SignTool dengan perintah berikut.

. \ signtool.exe sign / fd sha256 / n "contoh" "C: \ path \ to \ MyExecutable.exe"

Tentukan Hash SHA1

Jika Anda memiliki beberapa sertifikat dengan Nama Subjek yang sama, Anda juga dapat menggunakan hash SHA1 (atau "cap jempol") sertifikat untuk memilihnya untuk ditandatangani. Menggantikan THUMBPRINT pada perintah di bawah ini dengan SHA1 yang sebenarnya mencirikan sertifikat Anda. Anda dapat menemukan nilai ini dengan melihat detail sertifikat di certmgr dan mencari Thumbprint bidang (pastikan dan hapus karakter spasi apa pun dari sidik jari sebelum menggunakannya dalam perintah Anda).

. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"

Gunakan File PKCS # 12 / PFX

Jika Anda memiliki sertifikat penandatanganan kode dan kunci pribadi dalam file PKCS # 12 (juga dikenal sebagai file PFX atau P12), Anda dapat menentukan file dan kata sandinya di baris perintah:

. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p sandi "C: \ path \ to \ MyExecutable.exe"

Cap waktu

Timestamping kode Anda akan memungkinkannya dipercaya setelah sertifikat penandatanganan kode Anda kedaluwarsa. Jika Anda ingin menambahkan file timestamp di file biner bertanda tangan, Anda dapat melakukannya menggunakan SignTool's /tr opsi, yang harus diikuti dengan menyetel algoritme intisari stempel waktu dengan /td. Perintah dalam cuplikan di bawah ini menyertakan stempel waktu dari SSL.comlayanan stempel waktu saat menandatangani file yang dapat dieksekusi.

. \ signtool.exe sign / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ path \ to \ MyExecutable.exe"
Catatan: Pastikan untuk menggunakan SignTool's /tr opsi (tentukan URL server cap waktu RFC 3161), tidak /t (URL server cap waktu), yang tidak kompatibel dengan server cap waktu SSL.com.
Catatan: The /td pilihan harus ikuti /tr pilihan. Jika algoritme intisari stempel waktu ditentukan sebelum server stempel waktu, algoritme SHA-1 default akan digunakan. Build Windows 10 SDK, HLK, WDK, dan ADK 20236 dan diatasnya membutuhkan penggunaan /tr saat cap waktu. SHA256 direkomendasikan daripada SHA1 untuk keamanan.

Pilihan Lain

Opsi SignTool penting lainnya adalah:

  • /d: Tambahkan deskripsi kode yang ditandatangani. Sebagai contoh, /d "test code".
  • /du: Tambahkan URL dengan deskripsi yang diperluas dari kode yang ditandatangani. Sebagai contoh, /du https://your_website.tld/project/description.

Menggunakan semua opsi di atas (tetapi menghilangkan /a, /sha1, atau /f karena kami menentukan Nama Subjek sertifikat dengan /n, baris perintah kami terlihat seperti:

signtool.exe tanda / n "contoh" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "kode uji" / du https: //your_website.tld/project/description "C: \ path \ to \ MyExecutable.exe "

Verifikasi Tanda Tangan

Gunakan perintah ini untuk memverifikasi kode yang Anda tandatangani (perhatikan bahwa /pa opsi harus ada di perintah):

. \ signtool.exe verifikasi / pa "C: \ path \ to \ MyExecutable.exe"

Jika file Anda berhasil ditandatangani, Anda akan melihat keluaran seperti ini:

File: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp =================================== ===== 0 sha256 RFC3161 Berhasil diverifikasi: C: \ path \ to \ MyExecutable.exe

Anda juga dapat memverifikasi bahwa file telah ditandatangani dengan mengklik kanan ikonnya dan memilih properti dari menu, lalu pilih Tanda Tangan Digital tab. Lihat detail tentang tanda tangan dengan memilihnya dan mengklik Rincian tombol.

Tanda Tangan Digital

Di sini kita dapat melihat bahwa file tersebut berisi tanda tangan digital yang valid, dibuat oleh SSL Corp pada 28 Juni 2020.

Detail Tanda Tangan Digital

Menandatangani Executable dengan SSL Manager

Jika Anda lebih suka pendekatan berbasis grafis yang bisa Anda gunakan SSL.comperangkat lunak internal, SSL Manager, untuk menandatangani file Anda. Banyak pelanggan lebih suka menggunakan SSL Manager karena ia menawarkan keuntungan tambahan yaitu memiliki akses mudah ke semua sertifikat Anda dalam satu antarmuka terpadu. Untuk instruksi tentang mengunduh dan menginstal SSL Manager, silakan merujuk ke petunjuk pemasangan.

Untuk menandatangani executable, mulailah dengan memilih Penandatanganan Kode> Paket Kode Tanda Tangan & Stempel Waktu dari SSL Managermenu.

Masuk & Kode Timestamp Paket

Dalam formulir penandatanganan kode, Anda dapat memilih yang dapat dieksekusi dan sertifikat penandatanganan kode (baik dari file atau toko sertifikat) dan salah satu server timestamp yang tersedia. Setelah selesai, klik tombol Menandatangani tombol untuk menandatangani kode Anda. Jika Anda memuat sertifikat dari file PFX, Anda harus memasukkan kata sandi file. Jika Anda menggunakan sertifikat penandatanganan kode EV, Anda akan diminta memasukkan PIN token USB Anda.

Selain penandatanganan kode, SSL Manager menawarkan banyak fitur canggih. Untuk lebih jelasnya, silakan lihat SSL Managerdokumentasi, terutama Menu Penandatanganan Kode.

Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini.

Berlangganan Buletin SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com