Bu web sayfası, bir SSL.com kullanımına ilişkin talimatlar sağlar. OV or EV Microsoft'un SignTool ve SSL.com'ları ile kod imzalama sertifikası SSL Manager.
Bu yönergeler, kod imzalama sertifikanızın yüklendiğini veya bir donanım belirtecinde bulunduğunu varsayar. eSigner platformunu kullanarak bulut tabanlı kod imzalama için lütfen şuraya bakın: genel bakış sayfası ve bu kayıt rehberi.
Donanım tabanlı OV ve EV kodu imzalama sertifikaları için özel anahtarın olduğunu unutmayın. sadece YubiKey FIPS USB jetonunda bulunur size gönderildi ve jeton bağlı olmalı uygulamayı imzalamak için kullanılan bilgisayara bağlayın. YubiKey FIPS belirteçleri olan Windows kullanıcıları da indirip yüklemelidir. YubiKey Akıllı Kart Mini Sürücüsü jetonlarını kullanmadan önce.
SignTool ile Yürütülebilir Bir İmzalama
kurmak Windows SDK ve SignTool
SignTool dahil edilmiştir Windows 10 SDK'sı. Kurulumdan sonra, SignTool altında bulunur:
C: \ Program Dosyaları (x86) \ Windows Kitleri \ 10 \ bin \ \ x64 \ signtool.exe
Başlama powershell
Bir Başlangıç powershell "Powershell" i arayarak komut penceresi Başlama menüsünü tıklayın ve masaüstü uygulamasını tıklayın.
Powershell, Windows'un temel hizmetlerine yönelik bir komut satırı arayüzüdür. SignTool'u çalıştırmak ve kodunuzu imzalamak için kullanabilirsiniz.
EV için kod imzalama, USB simgenizi bilgisayarınıza takın (henüz yapmadıysanız). eSigner kullanıyorsanız, yükleyin eSigner Bulut Anahtarı Adaptörü
Özel anahtarın yalnızca size gönderilen USB belirtecinde bulunduğunu ve jeton eklenmelidir uygulamayı imzalamak için kullanılan bilgisayara. OV kodu imzalama sertifikası kullanıyorsanız bu adım atlanmalıdır.
İşaret çalıştırılabilir
Powershell penceresinde aşağıdaki komutu vererek bir yürütülebilir dosyayı imzalayabilirsiniz. Signtool.exe ile eSigner bulut imzalama kullanıyorsanız, yüklediğinizden emin olun. eSigner CKA'sı
. \ signtool.exe işareti / fd sha256 / a "C: \ yol \ - \ MyExecutable.exe"
- The
/fd
seçeneği, imzalama sırasında kullanılacak özet algoritmayı seçer. Windows 10 SDK, HLK, WDK ve ADK derlemeleri 20236 ve üzeri imzalarken bu seçeneğin ayarlanmasını gerektirir. Güvenlik için SHA256 yerine SHA1 önerilir. - The
/a
seçeneği, SignTool'a yürütülebilir dosya için otomatik olarak uygun bir kod imzalama sertifikası bulmasını söyler. - EV kodu imzalama sertifikası kullanıyorsanız, USB kartınızın PIN kodunu girmeniz istenecektir. PIN kodunuzu bulma konusunda yardıma ihtiyacınız varsa lütfen bu nasıl yapılır.
İmza Sertifikası Seçme
Konu Adını Belirtin
USB jetonlarını veya sertifikaları imzalayan birden fazla kodunuz varsa, sertifikayı belirtin dahil ederek kullanmak istediğiniz Özne ismi ile /n
seçeneği.
EV CS sertifikanızın Konu Adını Microsoft'un sertifika yönetim aracını kullanarak bulabilirsiniz. sertifika. Aracı Başlat menüsünden açın ve EV CS sertifikanızı aşağıdaki resimde gösterildiği gibi "Sertifikalar" altında "Kişisel" klasöründe arayın. Konu Adı, certmgr'de "Verilen" alanıdır.
Yukarıdaki resimde, sertifikanın Konu Adı example
. Bu değeri SignTool'da aşağıdaki komutla belirtebilirsiniz.
. \ signtool.exe işareti / fd sha256 / n "örnek" "C: \ yol \ - \ MyExecutable.exe"
SHA1 Hash'i belirtin
Aynı Konu Adına sahip birden fazla sertifikanız varsa, imzalamak için bir sertifikanın SHA1 karmasını (veya "parmak izi") de kullanabilirsiniz. Değiştir THUMBPRINT
Aşağıdaki komutta, gerçek SHA1 hash ile sertifikanız. Bu değeri, certmgr'deki sertifika ayrıntılarını görüntüleyerek ve Thumbprint
alan (komutunuzda kullanmadan önce parmak izindeki boşluk karakterlerini mutlaka kaldırın).
. \ signtool.exe işareti / fd sha256 / sha1 THUMBPRINT "C: \ yol \ \ MyExecutable.exe"
PKCS # 12 / PFX Dosyası kullanın
Bir PKCS # 12 dosyasında (PFX veya P12 dosyası olarak da bilinir) kod imzalama sertifikanız ve özel anahtarınız varsa, komut satırında dosyayı ve şifresini belirtebilirsiniz:
. \ signtool.exe sign / fd sha256 / f "C: \ path \ to \ MyCertificate.pfx" / p parola "C: \ path \ to \ MyExecutable.exe"
Zaman damgası
Kodunuzun zaman damgası, kod imzalama sertifikanızın süresi dolduktan sonra güvenilir olmasına izin verir. Bir eklemek isterseniz zaman damgası imzalı ikili dosyada, bunu SignTool'un /tr
seçeneği, ardından zaman damgası özet algoritmasının ayarlanması gerekir. /td
. Aşağıdaki kod parçacığındaki komut, SSL.combir yürütülebilir dosyayı imzalarken 'ın zaman damgası hizmeti.
. \ signtool.exe işareti / fd sha256 / tr http://ts.ssl.com / td sha256 / a "C: \ yol \ \ MyExecutable.exe'ye"
/tr
seçeneği (RFC 3161 zaman damgası sunucusunun URL'sini belirtin), değil /t
(Zaman damgası sunucusunun URL'si), SSL.com'un zaman damgası sunucusuyla uyumlu değildir./td
seçenek şart izleyin /tr
seçeneği. Zaman damgası özeti algoritması, zaman damgası sunucusundan önce belirtilirse, varsayılan SHA-1 algoritması kullanılır. Windows 10 SDK, HLK, WDK ve ADK derlemeleri 20236 ve üzeri kullanımı gerektirir /tr
zaman damgası olduğunda. Güvenlik için SHA256 yerine SHA1 önerilir.Bu hatayla karşılaşırsanız:
The timestamp certificate does not meet a minimum public key length requirement
, ECDSA anahtarlarından zaman damgalarına izin vermek için yazılım satıcınızla iletişime geçmelisiniz.Yazılım satıcınızın normal uç noktanın kullanılmasına izin vermesinin bir yolu yoksa, bu eski uç noktayı kullanabilirsiniz.
http://ts.ssl.com/legacy
RSA Zaman Damgası Birimi'nden bir zaman damgası almak için.Diğer Seçenekler
Diğer önemli SignTool seçenekleri şunlardır:
/d
: İmzalı kodun bir açıklamasını ekleyin. Örneğin,/d "test code"
./du
: İmzalı kodun genişletilmiş açıklamasını içeren bir URL ekleyin. Örneğin,/du https://your_website.tld/project/description
.
Yukarıdaki seçeneklerin tümünü kullanmak (ancak atlamak /a
, /sha1
ya da /f
çünkü sertifikanın Konu Adını belirtiyoruz /n
, komut satırımız şöyle görünür:
signtool.exe işareti / n "örnek" / fd sha256 / tr http://ts.ssl.com / td sha256 / d "test kodu" / du https: //your_website.tld/project/description "C: \ yolu \ to \ MyExecutable.exe "
İmzayı Doğrula
İmzalı kodunuzu doğrulamak için bu komutu kullanın ( /pa
seçeneği komutta mevcut olmalıdır):
. \ signtool.exe doğrula / pa "C: \ yol \ - \ MyExecutable.exe"
Dosyanız başarıyla imzalandıysa, aşağıdaki gibi çıktılar görmelisiniz:
Dosya: C: \ path \ to \ MyExecutable.exe Dizin Algoritma Zaman Damgası ===================================== ===== 0 sha256 RFC3161 Başarıyla doğrulandı: C: \ path \ to \ MyExecutable.exe
Ayrıca simgesini sağ tıklayıp simgesini seçerek bir dosyanın imzalandığını doğrulayabilirsiniz. Emlaklar menüden, ardından Dijital imzalar sekmesi. İmza hakkındaki ayrıntıları, imzayı seçip - Detaylar düğmesine basın.
Burada dosyanın 28 Haziran 2020'de SSL Corp tarafından oluşturulan geçerli bir dijital imza içerdiğini görebiliriz.
İle Yürütülebilir Bir İmzalama SSL Manager
Daha grafik tabanlı bir yaklaşımı tercih ederseniz, SSL.comkurum içi yazılım, SSL Manager, dosyalarınızı imzalamak için. Birçok müşteri kullanmayı tercih ediyor SSL Manager çünkü tek bir birleşik arabirimde tüm sertifikalarınıza kolay erişime sahip olmanın ek faydasını sunar. İndirme ve yükleme ile ilgili talimatlar için SSL Managerlütfen bakınız yükleme Rehberi.
Yürütülebilir bir dosyayı imzalamak için, Kod İmzalama> İmza ve Zaman Damgası Kod Paketi itibaren SSL Manager'ın menüsü.
Kod imzalama formunda, yürütülebilir dosyayı ve kod imzalama sertifikasını (dosyadan veya sertifika deposundan) ve kullanılabilir zaman damgası sunucularından birini seçebilirsiniz. İşiniz bittiğinde, İşaret Kodunuzu imzalamak için düğmesine basın. Bir PFX dosyasından bir sertifika yüklüyorsanız, dosyanın şifresini girmeniz gerekecektir. EV kodu imzalama sertifikası kullanıyorsanız, USB kartınızın PIN kodunu girmeniz istenecektir.
Kod imzalamanın yanı sıra, SSL Manager birçok güçlü özellik sunar. Daha fazla ayrıntı için lütfen bakın SSL Managerbelgeleri, özellikle de Kod İmzalama menüsü.