en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Bruke kodesigneringssertifikatet

Denne fremgangsmåten vil lede deg gjennom å bruke SSL.com OV or EV kodesigneringssertifikat med Microsofts SignTool og SSL.com SSL Manager.

Disse instruksjonene forutsetter at OV-kodesigneringssertifikatet ditt har vært installerte, eller at du har et EV-sertifikat på et maskinvaretoken. For skybasert EV-kodesignering ved bruk av esigner-plattformen, se oversiktssiden og denne påmeldingsguide.

Husk at for maskinvarebaserte EV-kodesigneringssertifikater den private nøkkelen finnes bare på YubiKey FIPS USB-token som ble sendt til deg og at symbolet må være vedlagt til datamaskinen som blir brukt til å signere applikasjonen. Windows -brukere med YubiKey FIPS -tokens bør også laste ned og installere YubiKey Smart Card Minidriver før du bruker tokenet sitt.

EV-kodesigneringssertifikater skal ikke installeres manuelt på datamaskinen din, noe som kan forårsake konfigurasjonsproblemer. Sertifikater som sendes på YubiKeys fra SSL.com kan brukes uten ekstra installasjon utover installering av YubiKey Smart Card Minidriver og koble tokenet til datamaskinen din. Sertifikater bestilt via ekstern attest skal lastes ned og installeres på enheten som inneholder den private nøkkelen (f.eks. YubiKey FIPS eller annen maskinvare som støttes), ikke datamaskinens sertifikatlager.
Hvis du planlegger å signere Windows 10-drivere med et EV-kodesigneringssertifikat, må du registrere med Windows Hardware Developer Program.
For instruksjoner om bruk av OV / IV- eller EV-kodesigneringssertifikat med Java, se vår Java-kodesigneringsveiledning.

Signering av en kjørbar med SignTool

Install Windows SDK og SignTool

SignTool er inkludert i Windows 10 SDK. Etter installasjonen vil SignTool være lokalisert under:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

Start PowerShell

Start en PowerShell kommandovinduet ved å søke etter "Powershell" i Start menyen og klikke på skrivebordsprogrammet.

Powershell er et kommandolinjegrensesnitt til Windows kjernetjenester. Du kan bruke den til å utføre SignTool og signere koden din.

For EV kode signering, koble USB-tokenet til datamaskinen (hvis du ikke allerede har gjort det). Hvis du bruker eSigner, installer eSigner Cloud Key Adapter

Husk at den private nøkkelen bare eksisterer på USB-tokenet som ble sendt til deg og det symbolet må være festet til datamaskin som blir brukt til å signere applikasjonen. Dette trinnet skal hoppes over hvis du bruker et OV-kodesigneringssertifikat.

Logg kjørbar

Du kan signere en kjørbar fil ved å gi følgende kommando i Powershell-vinduet. Hvis du bruker eSigner skysignering med signtool.exe, sørg for å installere eSigner CKA

. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
  • De /fd alternativet velger fordøyelsesalgoritmen som skal brukes når du signerer. Windows 10 SDK, HLK, WDK og ADK bygger 20236 og over krever krever at dette alternativet er angitt når du signerer. SHA256 anbefales over SHA1 for sikkerhets skyld.
  • De /a alternativet instruerer SignTool til automatisk å finne et passende kodesigneringssertifikat for den kjørbare.
  • Hvis du bruker et EV-kodesigneringssertifikat, blir du bedt om USB-tokens PIN-kode. Hvis du trenger hjelp til å finne PIN-koden din, kan du se hvordan du gjør det.Oppgi PIN-kode
OBS: Hvis du signerer kodefiler som skal inkluderes i et installasjonsprogram (for eksempel en Windows MSI-fil), må du signere disse filene før du bygger installasjonsprogrammet, og deretter signere installasjonsfilen selv.

Velge et signeringssertifikat

Angi emnets navn

Hvis du har mer enn én kodesignering av USB-tokens eller -sertifikater, kan du gjøre det spesifiser sertifikatet du vil bruke ved å inkludere dens Fagnavn via /n alternativet.

Du kan finne EV CS-sertifikatets emnenavn ved hjelp av Microsofts sertifikatadministrasjonsverktøy certmgr. Åpne verktøyet fra Start-menyen og se etter EV CS-sertifikatet ditt i mappen "Personlig" under "Sertifikater", som vist på bildet nedenfor. Fagnavnet er "Utstedt til" -feltet i certmgr.

I bildet ovenfor er sertifikatets emne navn example. Du kan spesifisere denne verdien i SignTool med følgende kommando.

. \ signtool.exe sign / fd sha256 / n "eksempel" "C: \ path \ to \ MyExecutable.exe"

Spesifiser SHA1 Hash

Hvis du har flere sertifikater med samme emnenavn, kan du også bruke SHA1-hash (eller "tommelavtrykk") til et sertifikat for å velge det for signering. Erstatte THUMBPRINT i kommandoen nedenfor med den faktiske SHA1-hashen sertifikatet ditt. Du kan finne denne verdien ved å se sertifikatdetaljene i certmgr og se etter Thumbprint felt (pass på og fjern eventuelle mellomromstegn fra tommelavtrykket før du bruker det i kommandoen).

. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"

Bruk en PKCS # 12 / PFX-fil

Hvis du har et kodesigneringssertifikat og en privat nøkkel i en PKCS # 12-fil (også kjent som en PFX- eller P12-fil), kan du spesifisere filen og passordet på kommandolinjen:

. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p password "C: \ path \ to \ MyExecutable.exe"

Tidsstempling

Ved å stemple koden din kan du stole på den etter at kodesigneringssertifikatet utløper. Hvis du vil legge til en tidsstempel i den signerte binære filen kan du gjøre det ved hjelp av SignTool's /tr alternativ, som skal følges av å angi tidsstemplets fordøyelsesalgoritme med /td. Kommandoen i kodebiten nedenfor inkluderer et tidsstempel fra SSL.comTidsstempletjeneste mens du signerer en kjørbar.

. \ signtool.exe sign / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ path \ to \ MyExecutable.exe"
OBS: Sørg for å bruke SignTool's /tr alternativet (spesifiser URL til RFC 3161 tidsstempel-server), ikke /t (URL for tidsstempel-server), som er inkompatibel med SSL.coms tidsstempel-server.
OBS: De /td alternativ Følg /tr alternativ. Hvis tidsstempel-fordøyelsesalgoritmen er spesifisert før tidsstempel-serveren, vil standard SHA-1-algoritmen bli brukt. Windows 10 SDK, HLK, WDK og ADK bygger 20236 og over krever bruk av /tr når tidsstempling. SHA256 anbefales over SHA1 for sikkerhets skyld.

andre alternativer

Andre viktige SignTool-alternativer er:

  • /d: Legg til en beskrivelse av den signerte koden. For eksempel, /d "test code".
  • /du: Legg til en URL med en utvidet beskrivelse av den signerte koden. For eksempel, /du https://your_website.tld/project/description.

Bruker alle alternativene ovenfor (men utelater /a, /sha1eller /f fordi vi spesifiserer sertifikatets emnenavn med /n, kommandolinjen vår ser ut som:

signtool.exe sign / n "eksempel" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test code" / du https: //y_website.tld/project/description "C: \ path \ til \ MyExecutable.exe "

Bekreft signatur

Bruk denne kommandoen for å bekrefte den signerte koden din (merk at /pa alternativet må være til stede i kommandoen):

. \ signtool.exe verifisere / pa "C: \ path \ to \ MyExecutable.exe"

Hvis filen din har blitt signert, bør du se utdata som dette:

Fil: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp ====================================== ===== 0 sha256 RFC3161 Vellykket bekreftet: C: \ path \ to \ MyExecutable.exe

Du kan også bekrefte at en fil er signert ved å høyreklikke på ikonet og velge Eiendommer fra menyen, og velg deretter Digitale signaturer kategorien. Vis detaljer om en signatur ved å velge den og klikke på Detaljer knapp.

Digitale signaturer

Her kan vi se at filen inneholder en gyldig digital signatur, opprettet av SSL Corp 28. juni 2020.

Detaljer om digital signatur

Signering av en kjørbar med SSL Manager

Hvis du foretrekker en mer grafikkbasert tilnærming kan du bruke SSL.comegen programvare, SSL Manager, for å signere filene dine. Mange kunder foretrekker å bruke SSL Manager fordi det gir den ekstra fordelen av å ha enkel tilgang til alle sertifikatene dine i ett enhetlig grensesnitt. For instruksjoner om nedlasting og installasjon SSL Manager, se vår installasjonsveiledning.

For å signere en kjørbar, start med å velge Kodesignering> Sign & Timestamp Code Package fra SSL Managermeny.

Sign & Timestamp Code Package

I kodesigneringsskjemaet kan du velge kjørbart og kodesigneringssertifikat (enten fra en fil eller et sertifikatlager) og en av de tilgjengelige tidsstempletjenerne. Når du er ferdig, klikker du på Logg for å signere koden. Hvis du laster inn et sertifikat fra en PFX-fil, må du oppgi passordet til filen. Hvis du bruker et EV-kodesigneringssertifikat, blir du bedt om USB-tokens PIN-kode.

Foruten kodesignering, SSL Manager tilbyr mange kraftige funksjoner. For mer informasjon, se SSL Managersin dokumentasjon, spesielt Kodesigneringsmeny.

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.

Relatert Hvordan Tos

Abonner på SSL.coms nyhetsbrev

Hva er SSL /TLS?

Spill av video

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com