Эта веб-страница содержит инструкции по использованию SSL.com. OV or EV сертификат подписи кода с Microsoft SignTool и SSL.com SSL Manager.
В этих инструкциях предполагается, что ваш сертификат подписи кода был установлен или что он имеется на аппаратном токене. Для облачной подписи кода с использованием платформы eSigner см. Обзор страницы и это руководство по зачислению.
Помните, что для аппаратных сертификатов подписи кода OV и EV закрытый ключ существует только на USB-токене YubiKey FIPS который был отправлен вам и этот знак должен быть прикреплен на компьютер, который используется для подписи приложения. Пользователи Windows с токенами YubiKey FIPS также должны загрузить и установить Мини-драйвер смарт-карты YubiKey перед использованием своего токена.
Подписание исполняемого файла с помощью SignTool
Установите Windows SDK и SignTool
SignTool входит в комплект Пакет SDK для Windows 10, После установки SignTool будет находиться под:
C: \ Program Files (x86) \ Комплекты Windows \ 10 \ bin \ \ x64 \ signtool.exe
Start Powershell
Начать Powershell командное окно, выполнив поиск «Powershell» в Start меню и нажав на рабочем столе приложения.
Powershell - это интерфейс командной строки для основных служб Windows. Вы можете использовать его для выполнения SignTool и подписания кода.
Для электромобилей код подписи, подключите свой USB-токен к компьютеру (если вы еще этого не сделали). Если вы используете eSigner, установите Адаптер облачного ключа eSigner
Помните, что закрытый ключ существует только на USB-токене, который был отправлен вам, и что токен должен быть прикреплен на компьютер, который используется для подписи приложения. Этот шаг следует пропустить, если вы используете сертификат подписи кода OV.
Войти исполнимый
Вы можете подписать исполняемый файл, введя следующую команду в окне Powershell. Если вы используете облачную подпись eSigner с signtool.exe, обязательно установите eSigner ЦКА
. \ signtool.exe sign / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
- Ассоциация
/fdопция выбирает алгоритм дайджеста, который будет использоваться при подписании. Сборки Windows 10 SDK, HLK, WDK и ADK 20236 и выше требуют, чтобы этот параметр был установлен при подписании. SHA256 рекомендуется вместо SHA1 для обеспечения безопасности. - Ассоциация
/aопция указывает SignTool автоматически найти соответствующий сертификат подписи кода для вашего исполняемого файла. - Если вы используете сертификат подписи кода EV, вам будет предложено ввести PIN-код вашего USB-токена. Если вам нужна помощь в поиске PIN-кода, см. это как.
Выбор сертификата подписи
Укажите имя темы
Если у вас установлено более одного USB-токена или сертификата для подписи кода, вы можете указать сертификат вы хотите использовать, включая его Имя субъекта через /n опцию.
Вы можете найти имя субъекта вашего сертификата EV CS с помощью инструмента управления сертификатами Microsoft Certmgr. Откройте инструмент из меню «Пуск» и найдите свой сертификат EV CS в папке «Личные» в разделе «Сертификаты», как показано на изображении ниже. Имя субъекта - это поле «Кому выдано» в certmgr.
На изображении выше имя субъекта сертификата example, Вы можете указать это значение в SignTool с помощью следующей команды.
. \ signtool.exe sign / fd sha256 / n "пример" "C: \ path \ to \ MyExecutable.exe"
Укажите хэш SHA1
Если у вас есть несколько сертификатов с одним и тем же именем субъекта, вы также можете использовать хэш SHA1 (или «отпечаток») сертификата, чтобы выбрать его для подписи. Заменить THUMBPRINT в приведенной ниже команде с фактическим хешем SHA1 вашего сертификата. Вы можете найти это значение, просмотрев сведения о сертификате в certmgr и выполнив поиск Thumbprint поле (обязательно удалите все пробелы из отпечатка пальца, прежде чем использовать его в своей команде).
. \ signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"
Используйте файл PKCS # 12 / PFX
Если у вас есть сертификат подписи кода и закрытый ключ в файле PKCS # 12 (также известном как файл PFX или P12), вы можете указать файл и его пароль в командной строке:
. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p пароль "C: \ path \ to \ MyExecutable.exe"
проставление даты
Отметка времени вашего кода позволит ему доверять после истечения срока действия вашего сертификата подписи кода. Если вы хотите добавить отметка времени в подписанном двоичном файле вы можете сделать это с помощью SignTool's /tr вариант, после которого следует установить алгоритм дайджеста отметки времени с помощью /td. Команда в приведенном ниже фрагменте включает метку времени из SSL.comСлужба отметок времени при подписании исполняемого файла.
. \ signtool.exe sign / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ path \ to \ MyExecutable.exe"
/tr опция (укажите URL сервера отметок времени RFC 3161), не /t (URL-адрес сервера отметок времени), который несовместим с сервером отметок времени SSL.com./td вариант должен следуйте /tr вариант. Если алгоритм дайджеста метки времени указан перед сервером метки времени, будет использоваться алгоритм SHA-1 по умолчанию. Сборки Windows 10 SDK, HLK, WDK и ADK 20236 и выше требуют использования /tr при отметке времени. SHA256 рекомендуется вместо SHA1 для безопасности.Если вы столкнулись с этой ошибкой:
The timestamp certificate does not meet a minimum public key length requirement, вам следует обратиться к поставщику программного обеспечения, чтобы разрешить временные метки из ключей ECDSA.Если ваш поставщик программного обеспечения не может разрешить использование обычной конечной точки, вы можете использовать эту устаревшую конечную точку.
http://ts.ssl.com/legacy чтобы получить временную метку из модуля временных меток RSA.Другие варианты
Другие важные параметры SignTool:
/dДобавить описание подписанного кода. Например,/d "test code"./duДобавить URL с расширенным описанием подписанного кода. Например,/du https://your_website.tld/project/description.
Использование всех вышеперечисленных опций (но без /a, /sha1или /f потому что мы указываем имя субъекта сертификата с помощью /nнаша командная строка выглядит так:
signtool.exe sign / n "пример" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "тестовый код" / du https: //your_website.tld/project/description "C: \ path \ to \ MyExecutable.exe "
Проверить подпись
Используйте эту команду для проверки подписанного кода (обратите внимание, что /pa опция должна присутствовать в команде):
. \ signtool.exe verify / pa "C: \ path \ to \ MyExecutable.exe"
Если ваш файл был успешно подписан, вы должны увидеть следующий результат:
Файл: C: \ path \ to \ MyExecutable.exe Метка времени алгоритма индексации =================================== ===== 0 sha256 RFC3161 Успешно проверено: C: \ path \ to \ MyExecutable.exe
Вы также можете убедиться, что файл подписан, щелкнув его значок правой кнопкой мыши и выбрав Объекты из меню, затем выбрав Цифровые подписи таб. Чтобы просмотреть сведения о подписи, выберите ее и нажмите Подробнее .
Здесь мы видим, что файл содержит действующую цифровую подпись, созданную SSL Corp 28 июня 2020 года.
Подписание исполняемого файла с SSL Manager
Если вы предпочитаете более графический подход, вы можете использовать SSL.comсобственное программное обеспечение, SSL Manager, чтобы подписать ваши файлы. Многие клиенты предпочитают использовать SSL Manager потому что он предлагает дополнительное преимущество легкого доступа ко всем вашим сертификатам в едином интерфейсе. Инструкции по загрузке и установке SSL Managerпожалуйста, обратитесь к нашему инструкция по установке.
Чтобы подписать исполняемый файл, начните с выбора Подписание кода> Пакет кода подписи и отметки времени от SSL Managerменю.
В форме подписи кода вы можете выбрать исполняемый файл и сертификат подписи кода (из файла или хранилища сертификатов) и один из доступных серверов отметок времени. Когда вы закончите, нажмите Войти кнопку, чтобы подписать код. Если вы загружаете сертификат из файла PFX, вам нужно будет ввести пароль файла. Если вы используете сертификат подписи кода EV, вам будет предложено ввести PIN-код вашего USB-токена.
Помимо подписи кода, SSL Manager предлагает множество мощных функций. Для более подробной информации, пожалуйста, обратитесь к SSL Managerдокументация, особенно Меню подписи кода.
