หน้าเว็บนี้ให้คำแนะนำในการใช้ SSL.com OV or EV ใบรับรองการเซ็นโค้ดด้วย SignTool ของ Microsoft และ SSL.com's SSL Manager.
คำแนะนำเหล่านี้อนุมานว่าใบรับรองการลงนามรหัสของคุณได้รับการติดตั้งแล้ว หรือคุณมีใบรับรองนั้นในโทเค็นของฮาร์ดแวร์ สำหรับการลงนามรหัสบนคลาวด์โดยใช้แพลตฟอร์ม eSigner โปรดดูที่ หน้าภาพรวม และนี้ คู่มือการลงทะเบียน.
โปรดจำไว้ว่าสำหรับใบรับรองการลงนามรหัส OV และ EV ที่ใช้ฮาร์ดแวร์ คีย์ส่วนตัว มีอยู่ในโทเค็น YubiKey FIPS USB เท่านั้น ที่ถูกส่งไปยังคุณและโทเค็น จะต้องแนบมาด้วย คอมพิวเตอร์ที่ใช้ในการเซ็นชื่อแอปพลิเคชัน ผู้ใช้ Windows ที่มีโทเค็น YubiKey FIPS ควรดาวน์โหลดและติดตั้ง YubiKey สมาร์ทการ์ด Minidriver ก่อนใช้โทเค็นของพวกเขา
การลงชื่อ Executionable ด้วย SignTool
การติดตั้ง Windows SDK และ SignTool
SignTool มาพร้อมกับ SDK ของ Windows 10. หลังจากการติดตั้ง SignTool จะอยู่ภายใต้:
C: \ Program ไฟล์ (x86) \ Windows Kits \ 10 \ bin \ \ x64 \ signtool.exe
เริ่มต้น PowerShell
เริ่มต้น PowerShell หน้าต่างคำสั่งโดยค้นหา“ Powershell” ในไฟล์ เริ่มต้น เมนูและคลิกที่แอปพลิเคชันเดสก์ท็อป
Powershell เป็นอินเทอร์เฟซบรรทัดคำสั่งสำหรับบริการหลักของ Windows คุณสามารถใช้เพื่อดำเนินการ SignTool และเซ็นชื่อรหัสของคุณ
สำหรับ EV รหัส เซ็นชื่อ แนบโทเค็น USB เข้ากับคอมพิวเตอร์ของคุณ (หากยังไม่ได้ดำเนินการ) หากใช้ eSigner ให้ติดตั้ง อะแดปเตอร์ eSigner Cloud Key
จำไว้ว่ากุญแจส่วนตัวนั้นมีอยู่ในโทเค็น USB ที่ส่งถึงคุณและเท่านั้น ต้องแนบโทเค็น คอมพิวเตอร์ที่ใช้ในการเซ็นชื่อแอปพลิเคชัน ควรข้ามขั้นตอนนี้หากคุณใช้ใบรับรองการลงนามรหัส OV
ลงชื่อ ปฏิบัติการ
คุณสามารถเซ็นชื่อไฟล์ปฏิบัติการได้โดยใช้คำสั่งต่อไปนี้ในหน้าต่าง Powershell หากใช้การลงนามบนคลาวด์ eSigner กับ signtool.exe อย่าลืมติดตั้ง eSigner CKA
. \ signtool.exe ลงชื่อ / fd sha256 / a "C: \ path \ to \ MyExecutable.exe"
- พื้นที่
/fd
ตัวเลือกเลือกอัลกอริทึมการย่อยที่จะใช้เมื่อเซ็นชื่อ Windows 10 SDK, HLK, WDK และ ADK บิลด์ 20236 ขึ้นไป กำหนดให้ต้องตั้งค่าตัวเลือกนี้เมื่อลงชื่อ แนะนำให้ใช้ SHA256 มากกว่า SHA1 เพื่อความปลอดภัย - พื้นที่
/a
ตัวเลือกสั่งให้ SignTool ค้นหาใบรับรองการลงนามรหัสที่เหมาะสมโดยอัตโนมัติสำหรับไฟล์ที่เรียกใช้ของคุณ - หากคุณใช้ใบรับรองการลงนามรหัส EV คุณจะได้รับแจ้งให้ใส่ PIN ของโทเค็น USB ของคุณ หากคุณต้องการความช่วยเหลือในการค้นหา PIN ของคุณโปรดดูที่ วิธีการนี้.
การเลือกใบรับรองการลงนาม
ระบุชื่อเรื่อง
หากคุณมีมากกว่าหนึ่งรหัสเซ็นโทเค็น USB หรือติดตั้งใบรับรองคุณสามารถ ระบุใบรับรอง คุณต้องการใช้โดยรวมถึง ชื่อเรื่อง เมื่อ /n
ตัวเลือก
คุณสามารถค้นหาชื่อเรื่องของใบรับรอง EV CS ได้โดยใช้เครื่องมือการจัดการใบรับรองของ Microsoft ใบรับรอง. เปิดเครื่องมือจากเมนูเริ่มและมองหาใบรับรอง EV CS ของคุณในโฟลเดอร์ "ส่วนบุคคล" ภายใต้ "ใบรับรอง" ดังที่แสดงในภาพด้านล่าง ชื่อเรื่องคือช่อง "ออกให้" ในใบรับรอง
ในภาพด้านบนชื่อเรื่องของใบรับรองคือ example
. คุณสามารถระบุค่านี้ใน SignTool ด้วยคำสั่งดังต่อไปนี้
. \ signtool.exe sign / fd sha256 / n "ตัวอย่าง" "C: \ path \ to \ MyExecutable.exe"
ระบุ SHA1 Hash
หากคุณมีใบรับรองหลายใบที่มีชื่อหัวเรื่องเดียวกันคุณยังสามารถใช้แฮช SHA1 (หรือ "รหัสประจำตัว") ของใบรับรองเพื่อเลือกใบรับรองสำหรับการลงนาม แทนที่ THUMBPRINT
ในคำสั่งด้านล่างพร้อมกับแฮช SHA1 จริงใบรับรองของคุณ คุณสามารถค้นหาค่านี้ได้โดยดูรายละเอียดใบรับรองใน certmgr และค้นหาไฟล์ Thumbprint
(ตรวจสอบให้แน่ใจและลบอักขระช่องว่างออกจากรหัสประจำตัวก่อนใช้ในคำสั่งของคุณ)
. \ signtool.exe ลงชื่อ / fd sha256 / sha1 THUMBPRINT "C: \ path \ to \ MyExecutable.exe"
ใช้ไฟล์ PKCS # 12 / PFX
หากคุณมีใบรับรองการเซ็นชื่อรหัสและคีย์ส่วนตัวในไฟล์ PKCS # 12 (หรือที่เรียกว่าไฟล์ PFX หรือ P12) คุณสามารถระบุไฟล์และรหัสผ่านในบรรทัดคำสั่ง:
. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p รหัสผ่าน "C: \ path \ to \ MyExecutable.exe"
การประทับเวลา
การประทับเวลารหัสของคุณจะช่วยให้เชื่อถือได้หลังจากใบรับรองการเซ็นชื่อรหัสของคุณหมดอายุ หากคุณต้องการเพิ่มไฟล์ การประทับเวลา ในไฟล์ไบนารีที่ลงนามคุณสามารถทำได้โดยใช้ SignTool's /tr
ซึ่งควรตามด้วยการตั้งค่าอัลกอริธึมการย่อยเวลาด้วย /td
. คำสั่งในตัวอย่างด้านล่างมีการประทับเวลาจาก SSL.comบริการประทับเวลาของขณะลงนามปฏิบัติการ
. \ signtool.exe sign / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ path \ to \ MyExecutable.exe"
/tr
ตัวเลือก (ระบุ URL ของเซิร์ฟเวอร์การประทับเวลา RFC 3161) ไม่ /t
(URL ของเซิร์ฟเวอร์ประทับเวลา) ซึ่งเข้ากันไม่ได้กับเซิร์ฟเวอร์ประทับเวลาของ SSL.com/td
ตัวเลือก ต้อง ติดตาม /tr
ตัวเลือก หากระบุอัลกอริธึมการย่อยการประทับเวลาก่อนเซิร์ฟเวอร์การประทับเวลาระบบจะใช้อัลกอริทึม SHA-1 เริ่มต้น Windows 10 SDK, HLK, WDK และ ADK บิลด์ 20236 ขึ้นไป ต้องใช้ /tr
เมื่อประทับเวลา แนะนำให้ใช้ SHA256 มากกว่า SHA1 เพื่อความปลอดภัยหากคุณพบข้อผิดพลาดนี้:
The timestamp certificate does not meet a minimum public key length requirement
คุณควรติดต่อผู้จำหน่ายซอฟต์แวร์ของคุณเพื่ออนุญาตการประทับเวลาจากคีย์ ECDSAหากผู้จำหน่ายซอฟต์แวร์ของคุณไม่สามารถอนุญาตให้ใช้ตำแหน่งข้อมูลปกติได้ คุณสามารถใช้ตำแหน่งข้อมูลเดิมนี้ได้
http://ts.ssl.com/legacy
เพื่อรับการประทับเวลาจาก RSA Timestamping Unitตัวเลือกอื่น
ตัวเลือก SignTool ที่สำคัญอื่น ๆ ได้แก่ :
/d
: เพิ่มคำอธิบายของรหัสที่เซ็นชื่อ ตัวอย่างเช่น,/d "test code"
./du
: เพิ่ม URL พร้อมคำอธิบายเพิ่มเติมของรหัสที่เซ็นชื่อ ตัวอย่างเช่น,/du https://your_website.tld/project/description
.
ใช้ตัวเลือกทั้งหมดข้างต้น (แต่ไม่ใช้งาน /a
, /sha1
,หรือ /f
เนื่องจากเรากำลังระบุ Subject Name ของใบรับรองด้วย /n
บรรทัดคำสั่งของเราดูเหมือนว่า:
เครื่องหมาย signtool.exe / n "ตัวอย่าง" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "รหัสทดสอบ" / du https: //your_website.tld/project/description "C: \ path \ ถึง \ MyExecutable.exe "
ตรวจสอบลายเซ็น
ใช้คำสั่งนี้เพื่อตรวจสอบรหัสที่ลงนามของคุณ (โปรดทราบว่าไฟล์ /pa
ต้องมีตัวเลือกในคำสั่ง):
. \ signtool.exe ตรวจสอบ / pa "C: \ path \ to \ MyExecutable.exe"
หากไฟล์ของคุณได้รับการลงนามสำเร็จคุณจะเห็นผลลัพธ์ดังนี้:
ไฟล์: C: \ path \ to \ MyExecutable.exe Index Algorithm Timestamp =================================== ===== 0 sha256 RFC3161 ตรวจสอบเรียบร้อยแล้ว: C: \ path \ to \ MyExecutable.exe
คุณยังสามารถตรวจสอบว่าไฟล์ได้รับการเซ็นชื่อแล้วโดยคลิกขวาที่ไอคอนและเลือก อสังหาริมทรัพย์ จากเมนูจากนั้นเลือกไฟล์ ลายเซ็นดิจิทัล แท็บ ดูรายละเอียดเกี่ยวกับลายเซ็นโดยเลือกและคลิก รายละเอียด ปุ่ม
ที่นี่เราจะเห็นว่าไฟล์มีลายเซ็นดิจิทัลที่ถูกต้องซึ่งสร้างโดย SSL Corp เมื่อวันที่ 28 มิถุนายน 2020
การลงนามในการดำเนินการด้วย SSL Manager
หากคุณต้องการแนวทางกราฟิกเพิ่มเติมคุณสามารถใช้ SSL.comซอฟต์แวร์ภายในองค์กร SSL Managerเพื่อลงนามไฟล์ของคุณ ลูกค้าหลายคนชอบที่จะใช้ SSL Manager เนื่องจากมีประโยชน์เพิ่มเติมในการเข้าถึงใบรับรองทั้งหมดของคุณได้อย่างง่ายดายในอินเทอร์เฟซเดียว สำหรับคำแนะนำในการดาวน์โหลดและติดตั้ง SSL Managerโปรดดูที่ของเรา คู่มือการติดตั้ง.
หากต้องการลงชื่อในโปรแกรมเรียกทำงานให้เริ่มโดยการเลือก การลงนามรหัส> แพ็คเกจรหัสการลงชื่อและการประทับเวลา ราคาเริ่มต้นที่ SSL Managerเมนูของ.
ในแบบฟอร์มการเซ็นชื่อโค้ดคุณสามารถเลือกใบรับรองที่สามารถเรียกใช้งานได้และใบรับรองการเซ็นชื่อโค้ด (จากไฟล์หรือที่เก็บใบรับรอง) และหนึ่งในเซิร์ฟเวอร์การประทับเวลาที่มีอยู่ เมื่อเสร็จแล้วให้คลิก ลงชื่อ ปุ่มเพื่อลงนามรหัสของคุณ หากคุณกำลังโหลดใบรับรองจากไฟล์ PFX คุณจะต้องป้อนรหัสผ่านของไฟล์ หากคุณใช้ใบรับรองการลงนามรหัส EV คุณจะได้รับแจ้งให้ป้อน PIN ของโทเค็น USB ของคุณ
นอกจากการลงรหัสแล้ว SSL Manager มีคุณสมบัติที่ทรงพลังมากมาย สำหรับรายละเอียดเพิ่มเติมโปรดดูที่ SSL Managerเอกสารประกอบโดยเฉพาะ เมนูการเซ็นชื่อรหัส.