en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

如何使用 eSigner CKA(云密钥适配器)使用 Signtool.exe 或 Certutil.exe 自动执行 EV 代码签名

eSigner CKA(云密钥适配器) 是一个基于 Windows 的应用程序,它使用 CNG 接口(KSP 密钥服务提供商)允许 certutil.exe 和 signtool.exe 等工具使用 eSigner CSC API 进行企业代码签名操作。 它就像一个虚拟 USB 令牌,并将代码签名证书加载到证书存储中。

此功能有助于使您的 eSigner 证书更加灵活,并提供在 CI/CD 流程中自动签名的选项,而物理 USB 令牌不存在这些选项。

注意 

本指导材料需要以下内容: 

  1. 颁发 EV 代码签名证书。 
  2. EV代码签名证书 当前必须在 eSigner 上注册。 如果不是这种情况,请参考这个 指导文章
  3. 在您的手机上安装的身份验证器应用程序,例如 Google 身份验证器应用程序。

 

用户可以使用 eSigner 的扩展验证代码签名功能对代码进行签名。 点击下方获取更多信息。

了解更多

制定命令行

命令行的组件

对于手动和自动代码签名,您需要在文本编辑器上输入命令行,例如 命令提示符. 命令行包含:

  1. SignTool(负责对文件进行数字签名并验证签名的命令行工具)的位置,括在括号中:“C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe”
  2. 新的 /fd sha256 指定哈希算法的选项
  3. 新的 / tr http://ts.ssl.com 指定时间戳服务器地址的选项
  4. /td sha256 指定时间戳摘要算法的选项
  5. 新的 /sha1 选项指定 SignTool 用于从密钥库中查找适当的代码签名证书的指纹
  6. 实际的证书指纹
  7. 将被签名的文件的路径,括在括号中:“SIGNABLE FILE PATH”

整个命令行应如下所示: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” 签名 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 证书指纹“SIGNABLE文件路径”

找到您的证书指纹

稍后,在安装 eSigner CKA 并将您的 EV 代码签名证书添加到 用户证书存储,您将能够通过按来检查您的 EV 代码签名证书指纹 Windows键+ R 然后输入 certmgr.msc 访问用户证书存储。 弹出证书管理器窗口时,单击 Personal 左侧面板上的文件夹,然后选择 证书 右侧的子文件夹以找到您的 EV 代码签名证书。

双击证书。 选择详细信息 选项卡,然后向下滚动以显示指纹。 当您签署代码时,复制指纹并将其包含到您的命令行中。

手动代码签名

安装 eSigner CKA

选择安装方式时,选择 手动代码签名 然后单击确定按钮。

登录到 eSigner CKA 程序

安装 eSigner CKA 后,打开程序并使用您的 SSL.com 帐户用户名和密码登录。

登录成功后,您将能够看到颁发 EV 代码签名证书的实体名称、序列号、到期日期和 电子控制系统 (扩展验证代码签名)首字母缩略词。

在文本编辑器上编写命令行

回想一下,代码签名的命令行如下所示: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” 签名 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 “签名文件路径”

在文本编辑器上编写命令行并按下 输入, 你会看到消息 完成添加其他商店. 然后会弹出一个窗口,要求您输入 SSL.com 帐户的用户名和密码。

输入一次性密码 (OTP) 

您的电子签名者注册的 EV 代码签名证书的一次性密码 (OTP) 将发送到您的身份验证器应用程序。 成功输入后,命令提示符将指示您的文件已成功签名。

检查文件上的数字签名

代码签名成功后,您现在可以查看文件上数字签名的详细信息。 右键单击已签名的文件,单击 租房,接着是 数字签名 标签。 在这里,您将看到签名者的名称、使用的摘要算法以及签名的时间戳。 点击 详细信息 按钮以获取有关签名代码的更多信息。

点击后 详细信息,您将能够阅读说明 这个数字签名没问题. 继续点击 查看证书 按钮。

点击后 查看证书 按钮,您将阅读指示为签名文件颁发的数字证书确保它来自发布者并保护它在发布后不被更改的信息。

自动代码签名

安装 eSigner CKA

选择安装方式时,选择 自动代码签名 然后单击确定按钮。

保存主密钥文件

将显示一条说明,说明保护主密钥文件的重要性。 请阅读它,然后单击“确定”按钮。

然后将弹出一个窗口,让您选择保存主密钥文件的位置。

输入您的 SSL.com 帐户用户名和密码

输入您的 SSL.com 帐户用户名和密码。

输入您的电子签名器 基于时间的一次性密码 (TOTP)

然后输入您的基于时间的一次性密码 (TOTP)。 您可以在 SSL.com 帐户的 EV 代码签名证书订单详细信息中找到您的 TOTP。 输入您之前在为 eSigner 注册订单时设置的 4 位 PIN,然后单击 显示二维码 按钮以显示 TOTP。

您的 TOTP 将显示在标有 密码. 复制 TOTP,粘贴到 TOTP秘密 eSigner CKA 窗口的字段,然后单击 OK 按钮来保存它。 

输入您的 SSL.com 帐户凭据和 TOTP 后,您将能够查看 EV 代码签名证书的详细信息。 如果您决定更新 TOTP,请将新的 TOTP 粘贴到分配的字段上,然后单击 优惠.

在文本编辑器上编写命令行

回想一下,代码签名的命令行如下所示: 

C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe” 签名 /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 “签名文件路径”

可选 命令提示符,粘贴要签名的文件的命令行。 按回车后,你会看到通知说 完成添加其他商店.

几秒钟后,您将看到通知 成功签约. 这表明您的文件已以自动方式签名,无需额外的 OTP。 

检查文件上是否存在数字签名

打开签名文件的文件夹位置。 右键单击它,然后单击 租房. 单击选项卡 数字签名 在这里你会看到使用的安全哈希算法有 256 位。 单击显示签名者名称、摘要算法和时间戳的直接空格。 突出显示后,继续单击 详细信息 按钮。

然后将显示一个弹出窗口,说明文件上的数字签名有效,并指出签名的具体时间。 点击 查看证书 按钮以查看有关已颁发的 EV 代码签名数字证书的更多信息。 

您将看到有关 EV 代码签名证书的信息,说明它验证您是可执行文件的创建者并保护您的文件不被篡改。 

如何使用您的沙盒帐户测试 eSigner CKA

安装 eSigner CKA

选择是否安装在 手动 or 自动化 模式

****请注意,如果您选择了一种模式,则必须重新安装程序才能在另一种模式下进行测试。*****

打开 Appdata 的 Roaming 子目录

 为了使用您的 SSL.com 沙盒帐户测试 eSigner CKA,您必须在 AppData 文件夹的 Roaming 子目录中修改应用程序的设置。 进入 %应用程序数据% 在 Windows 搜索栏上直接将您带到 AppData 的漫游子目录。

打开电子签名器 数据文件 用你的文本编辑器

打开 电子签名者CKA 文件夹,找到文件 设计者应用程序数据,右键单击它并选择使用文本编辑器编辑文件的选项,在这种情况下 记事本+ +

打开文本编辑器后,您将看到下面的值集。

您可以将值集分隔成连续的行,以便更易于编辑。 

手动模式测试签名

对于手动模式下的测试签名,应存在以下值:

  1. 客户 ID 应为: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. 加入 -尝试 在 api_url
    之前:“api_url”:“https://cs.ssl.com/csc/v0/
    之后:“api_url”:”https://cs-try.ssl.com/csc/v0/=
  3. 更换 登录 oauth 沙盒 在 auth_url
    之前:“auth_url”:“https://登录.ssl.com/oauth2/token”
    之后:“auth_url”:“https://oauth 沙盒.ssl.com/oauth2/token”
  4. “信用模式”: 0
  5. “master_key”:空

自动模式测试签名

对于自动模式下的测试签名,应提供以下值:

  1. 客户 ID 应为: qOUeZCCzSqgA93acB3LYq6lBNjgZdiOxQc-KayC3UMw
  2. 加入 -尝试 在 api_url
    之前:“api_url”:“https://cs.ssl.com/csc/v0/
    之后:“api_url”:”https://cs-try.ssl.com/csc/v0/=
  3. 更换 登录 oauth 沙盒 在 auth_url
    之前:“auth_url”:“https://登录.ssl.com/oauth2/token”
    之后:“auth_url”:“https://oauth 沙盒.ssl.com/oauth2/token”
  4. “信用模式”: 1
  5. 更换 在 master_key 上使用您的确切文件路径 主密钥 文件中。
    在自动模式下安装 eSigner CKA 以进行测试时,您必须提供您的沙盒帐户登录凭据。 原因是在自动代码签名中,登录凭据是使用主密钥加密的。 如果您在安装时输入生产登录凭据,然后按照自动测试格式更改 esignerapp.data 文件中的值,您将无法进行测试,因为您提供的用户名和密码不存在于沙盒测试环境中。

使用您的 SSL.com 沙盒帐户凭据登录到 eSigner CKA

更改值后 设计者应用程序数据, 您现在可以按照前面为实时证书概述的相同步骤从沙箱中测试您的 EV 代码签名证书。

如何使用 eSigner CKA 和 HLKSigntool 签署硬件实验室工具包 (HLK) 文件

Hardware Lab Kit 是一种用于测试和准备内核模式驱动程序以提交给 Microsoft 的工具。 目前,eSigner CKA 还需要安装 HLKSigntool 才能在 Microsoft 的 HLK 软件中使用 

在运行 HLKSignTool.exe 之前,必须首先安装和配置 eSigner CKA(用户登录并设置 TOTP 密码)。 

步骤. 安装和配置 eSigner CKA

步骤. 在下面的命令行中使用 HLKSignTool

命令行
HLKSignTool.exe certificate_serial “path_to_file”

例如:

HLKSignTool.exe 3364de1e9ed1882e963a89ff7a958e9d "A:\teet.hlkx"

订阅 SSL.com 的时事通讯

不要错过SSL.com上的新文章和更新