当我尝试使用signtool签名应用程序时，为什么会出现“指定的PFX密码不正确”的错误？

有几个问题。

首先，您正在使用自签名证书，因此应通过在makecert命令中添加-r键来显式定义它，否则在签名步骤中会出现“签名者证书无效”的错误。

接下来，在这一步中

signtool.exe sign /f "App-O.pfx" /p fess "C:\Output\setup.exe"

您正在尝试使用密码“fess”打开pfx文件。但是实际上，您并没有为pfx文件设置任何密码。要这样做，您应该在创建pfx命令中添加-po键。

之后，您可以签署您的应用程序。

因此，正确的流程应该是：

makecert.exe -sv App-O.pvk -n "CN=MY DIGITAL KEY" App-O.cer -r

pvk2pfx.exe -pvk App-O.pvk -spc App-O.cer -pfx App-O.pfx -po fess

signtool.exe sign /f "App-O.pfx" /p fess "C:\Output\setup.exe"

以下是一些有用的链接：

• 如何创建证书：http://msdn.microsoft.com/zh-cn/library/ff699202.aspx
• pvk2pfx 命令的密钥：http://msdn.microsoft.com/zh-cn/library/windows/hardware/ff550672(v=vs.85).aspx
• signtool 命令的密钥：http://msdn.microsoft.com/zh-cn/library/windows/desktop/aa387764(v=vs.85).aspx
• 如何签署文件：http://msdn.microsoft.com/zh-cn/library/windows/desktop/aa388170(v=vs.85).aspx

当我在一些机器上使用DigiCert代码签名证书时，意外遇到了类似的错误。后来发现，在导出证书时我选择了SHA256加密而不是TripleDES-SHA1，而我们的某个构建机仍在运行Windows Server 2012 R2。显然，这个操作系统无法解密证书，因此也会导致相同（在这种情况下非常烦人的）错误消息。

更新：在使用Hosted VS2017流水线和DigiCert证书的Azure DevOps经典流水线中也存在同样的行为。

新的YAML流水线可以使用SHA256。

您只需要添加-pi参数（pvk文件的密码）就像这样：

pvk2pfx.exe -pvk App-O.pvk -pi fess -spc App-O.cer -pfx App-O.pfx -po fess -f

哇塞！

选项的顺序很重要，特别是如果你是Linux用户，一定要考虑这个问题。

signtool sign /f C:\Users\Administrator\Downloadsmycert.pfx /p uptycs  /tr http://timestamp.comodoca.com /debug /td SHA256 /fd SHA256 myapp.exe

首先，我在命令的末尾提到了/p密码，但它总是失败。