我该如何在使用signtool签署代码时包含整个认证路径?
旧版本的signtool会在数字签名中包含整个认证路径。现在如果我用signtool签署一个可执行文件:
signtool.exe" sign /v /f avatar.pfx -t "http://timestamp.verisign.com/scripts/timstamp.dll" app.exe
这是因为没有认证路径:
使用较旧版本的 signtool 签名的二进制文件可以正常工作:
我该如何告诉Signcode在签名时包含整个证书路径?
签署二进制文件的正确方式是什么?
更新: SignTool 版本 6.1.7600.16385:
使用 /ac 命令并传递证书根目录下的 .cer 文件名(对于 Verisign,当签署内核代码或其他特殊代码时,上次我检查过它被称为 MSCV-VSClass3.cer)。
signtool.exe sign /v /f "Avatar.pfx"
/ac "Thawte Code Signing CA - G2.cer"
-t "http://timestamp.verisign.com/scripts/timstamp.dll" app.exe
这应该由您的CA提供。通常,MS为其在Windows中接受的各种CA提供捆绑包。
参见:
无论如何,据我所知,这仅适用于内核代码和非常特定的其他事物(例如,Windows安全中心)。
primaryca.cer。
下载文件 primaryca.cer 并使用以下方式签署您的文件:
signtool sign /f certificate.pfx /p PASSWORD /ac primaryca.cer APP.exe.
关于 Authenticode 签名的文档
.docx )指出 PKCS #7 SignedData 结构包含签名证书和任何中间证书,但通常不包含根证书。
然而,在我有点“糊涂”的时候发现,signtool.exe 必须能够找到证书以包含它们。
叶证书在命令行中提供。但是,沿着链条的其余证书的识别不包括证书的位置。signtool确实检查系统证书存储库,因此如果在那里找到它们,则会将它们添加到二进制文件中。如果没有找到它们,signtool只会将叶证书放入已签名的二进制文件中。
请注意,如果中间证书不在已签名的二进制文件中,但在检查签名的系统的系统证书存储库中,则二进制文件仍将通过验证,因为可以解析链。
还要注意,从已签名的二进制文件中排除根证书是有意义的,因为必须独立地将根证书放在检查签名的系统上才能信任它,因此它将被忽略。(将根证书包含在二进制文件中的唯一真正好处是如果某人想手动导入根证书,这几乎总是一个非常糟糕的想法。)