en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Använda ditt kodsigneringscertifikat

Denna vägledning leder dig genom att använda din SSL.com OV or EV kodsigneringscertifikat med Microsofts Signtool och SSL.com SSL Manager.

Dessa instruktioner antar att ditt OV-kodsigneringscertifikat har varit installerad, eller att du har ett EV-certifikat på ett hårdvarutoken. Kom ihåg att för EV-kodsigneringscertifikat den privata nyckeln finns bara på YubiKey FIPS USB-token som skickades till dig och att symbolen måste bifogas till datorn som används för att signera applikationen. Windows -användare med YubiKey FIPS -tokens bör också ladda ner och installera YubiKey Smart Card Minidriver innan du använder deras token.

EV-kodsigneringscertifikat bör inte installeras manuellt på din dator, vilket kan orsaka konfigurationsproblem. Certifikat som skickas på YubiKeys från SSL.com kan användas utan ytterligare installation än att installera YubiKey Smart Card Minidriver och ansluta token till din dator. Intyg beställda via fjärrattest bör laddas ner och installeras på enheten som innehåller den privata nyckeln (t.ex. YubiKey FIPS eller annan maskinvara som stöds), inte datorns certifikatlager.
Om du planerar att signera Windows 10-drivrutiner med ett EV-kodsigneringscertifikat måste du registrera med Windows Hardware Developer Program.
För instruktioner om hur du använder ditt OV / IV- eller EV-kodsigneringscertifikat med Java, se vår Java Code Signing Guide.

Signera en körbar med SignTool

installera fönster SDK och SignTool

SignTool ingår i Windows 10 SDK. Efter installationen kommer SignTool att finnas under:

C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe

Start powershell

Starta en powershell kommandofönstret genom att söka efter "Powershell" i Start och klicka på skrivbordsapplikationen.

Powershell är ett kommandoradsgränssnitt till Windows kärntjänster. Du kan använda den för att köra SignTool och signera din kod.

För EV koda signering, bifoga din USB-token till din dator (om du inte redan har gjort det).

Kom ihåg att den privata nyckeln bara finns på USB-tokenet som skickades till dig och det token måste bifogas till dator som används för att signera applikationen. Det här steget ska hoppas över om du använder ett OV-kodsigneringscertifikat.

Anmäl exekverbar

Du kan signera en körbar genom att utfärda följande kommando i Powershell-fönstret.

. \ signtool.exe tecken / fd sha256 / a "C: \ sökväg \ till \ MyExecutable.exe"
  • Du har nu möjlighet /fd alternativet väljer den digereringsalgoritm som ska användas vid signering. Windows 10 SDK, HLK, WDK och ADK bygger 20236 och över kräver att detta alternativ ska ställas in vid signering. SHA256 rekommenderas över SHA1 för säkerhet.
  • Du har nu möjlighet /a alternativet instruerar SignTool att automatiskt hitta ett lämpligt kodsigneringscertifikat för din körbara.
  • Om du använder ett EV-kodsigneringscertifikat kommer du att uppmanas att ange din USB-tokens PIN-kod. Om du behöver hjälp med att hitta din PIN-kod, se det här.Ange PIN-koden
Notera: Om du signerar kodfiler som kommer att ingå i ett installationsprogram (till exempel en Windows MSI-fil) måste du signera dessa filer innan du bygger installationsprogrammet och sedan underteckna själva installationsfilen.

Välja ett signeringscertifikat

Ange ämnesnamn

Om du har mer än en kodsignering av USB-tokens eller certifikat installerat kan du göra det ange certifikatet du vill använda genom att inkludera dess Ämnesnamn via /n alternativ.

Du hittar ditt EV CS-certifikats ämnesnamn med Microsofts certifikathanteringsverktyg certmgr. Öppna verktyget från Start-menyn och leta efter ditt EV CS-certifikat i mappen "Personlig" under "Certifikat", som visas i bilden nedan. Ämnesnamnet är fältet "Utfärdas till" i certmgr.

I bilden ovan är certifikatets ämnesnamn example. Du kan ange detta värde i SignTool med följande kommando.

. \ signtool.exe tecken / fd sha256 / n "exempel" "C: \ sökväg \ till \ MyExecutable.exe"

Ange SHA1 Hash

Om du har flera certifikat med samma ämnesnamn kan du också använda SHA1-hash (eller "tumavtryck") för ett certifikat för att välja det för signering. Byta ut THUMBPRINT i kommandot nedan med den faktiska SHA1-hash ditt certifikat. Du kan hitta detta värde genom att visa certifikatinformation i certmgr och leta efter Thumbprint fält (se till att ta bort alla mellanslagstecken från tumavtrycket innan du använder det i ditt kommando).

. \ signtool.exe tecken / fd sha256 / sha1 THUMBPRINT "C: \ sökväg \ till \ MyExecutable.exe"

Använd en PKCS # 12 / PFX-fil

Om du har ett kodsigneringscertifikat och en privat nyckel i en PKCS # 12-fil (även känd som en PFX- eller P12-fil) kan du ange filen och dess lösenord på kommandoraden:

. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p password "C: \ path \ to \ MyExecutable.exe"

Tidsstämpling

Tidsstämpling av din kod gör att den kan lita på efter att ditt kodsigneringscertifikat löper ut. Om du vill lägga till en tidsstämpel i den signerade binära filen kan du göra det med hjälp av SignTool /tr alternativ, som ska följas av att ställa in tidsstämpelsammandragningsalgoritmen med /td. Kommandot i utdraget nedan innehåller en tidsstämpel från SSL.comtidstämpeltjänst medan du signerar en körbar.

. \ signtool.exe tecken / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ sökväg \ till \ MyExecutable.exe"
Notera: Var noga med att använda SignTool /tr alternativ (ange URL för RFC 3161 tidsstämpelserver), inte /t (URL för tidsstämpelserver), vilket är oförenligt med SSL.coms tidsstämpelserver.
Notera: Du har nu möjlighet /td alternativ måste Följ /tr alternativ. Om tidsstämpelsammandragningsalgoritmen specificeras före tidsstämpelservern, används standardalternativet SHA-1. Windows 10 SDK, HLK, WDK och ADK bygger 20236 och över kräver användning av /tr vid tidsstämpling. SHA256 rekommenderas över SHA1 för säkerhet.

Andra alternativ

Andra viktiga alternativ för SignTool är:

  • /d: Lägg till en beskrivning av den signerade koden. Till exempel, /d "test code".
  • /du: Lägg till en URL med en utökad beskrivning av den signerade koden. Till exempel, /du https://your_website.tld/project/description.

Med alla ovanstående alternativ (men utelämnande /a, /sha1, eller /f eftersom vi anger certifikatets ämnesnamn med /n, vår kommandorad ser ut som:

signtool.exe tecken / n "exempel" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "testkod" / du https: //ditt_webbplats.tld/projekt/beskrivning "C: \ sökväg \ till \ MyExecutable.exe "

Verifiera signatur

Använd det här kommandot för att verifiera din signerade kod (notera att /pa alternativet måste finnas i kommandot):

. \ signtool.exe verifiera / pa "C: \ sökväg \ till \ MyExecutable.exe"

Om din fil har signerats framgångsrikt bör du se utdata så här:

Fil: C: \ sökväg \ till \ MyExecutable.exe Index Algoritm Tidsstämpel ====================================== ===== 0 sha256 RFC3161 Framgångsrikt verifierat: C: \ path \ to \ MyExecutable.exe

Du kan också verifiera att en fil har signerats genom att högerklicka på dess ikon och välja Fastigheter från menyn och sedan välja Digitala signaturer flik. Visa detaljer om en signatur genom att markera den och klicka på detaljer knapp.

Digitala signaturer

Här kan vi se att filen innehåller en giltig digital signatur, skapad av SSL Corp den 28 juni 2020.

Detaljer om digital signatur

Signera en körbar med SSL Manager

Om du föredrar en mer grafikbaserad strategi kan du använda SSL.comegen programvara, SSL Manager, för att underteckna dina filer. Många kunder föredrar att använda SSL Manager eftersom det ger den extra fördelen med att ha enkel åtkomst till alla dina certifikat i ett enhetligt gränssnitt. För instruktioner om nedladdning och installation SSL Manager, se vår installationsguide.

För att signera en körbar börjar du med att välja Kodsignering> Sign & Timestamp Code Package från SSL Managermeny.

Tecken & tidsstämpelkodpaket

I kodsigneringsformuläret kan du välja körbarhet och kodsigneringscertifikat (antingen från en fil eller ett certifikatlager) och en av de tillgängliga tidstämpelservrarna. När du är klar klickar du på Anmäl knappen för att signera din kod. Om du laddar ett certifikat från en PFX-fil måste du ange filens lösenord. Om du använder ett EV-kodsigneringscertifikat kommer du att uppmanas att ange din USB-tokens PIN-kod.

Förutom kodsignering, SSL Manager erbjuder många kraftfulla funktioner. För mer information, se SSL Managerdokumentation, speciellt Kodsigneringsmeny.

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.

Relaterade hur Tos

Prenumerera på SSL.coms nyhetsbrev

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com