Windows：如何使用由Certum颁发的证书签署exe文件？

Question

Windows：如何使用由Certum颁发的证书签署exe文件？

windowscertificatedigital-signaturecode-signing

8

我的目标是使用证书在Windows上签署未签名的可执行文件。根据我的一般知识，我知道我需要一个数字签名的公钥和私钥对。我已经安装了Windows SDK，其中提供了signtool.exe和makecert.exe。

我已经在线获取了一个包含CER、PEM和CRT文件的证书。

现在我的问题是如何使用这些工具和证书文件来签署可执行文件。根据here，CRT文件是私钥。从我到目前为止所学的知识来看，CER和PEM文件基本上是相同的，但编码不同。它们是公钥吗？我该如何签署我的可执行文件？

编辑：我尝试将CRT文件安装到证书存储中，然后使用该证书进行签名：

"C:\Program Files (x86)\Windows Kits\8.1\bin\x64\signtool.exe" sign /debug /fd SHA256 /a /n "<Issued_To>" /t http://timestamp.comodoca.com/authenticode <Filename>

在这里，<Issued_To> 被证书中的数据替换了，而 <Filename> 是我想要签名的文件名。signtool 返回的输出如下：

The following certificates were considered:
    ...

    Issued to: ...
    Issued by: Certum Code Signing CA SHA2
    Expires:   Thu Oct 12 14:37:04 2017
    SHA1 hash: BA081A67D3F2DDDC9268121DCBA04F43D6CD37FB

    ...

After EKU filter, 1 certs were left.
After expiry filter, 1 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

- bweber

2个回答

6

这解决了我的问题：http://www.anse.de/programming/code-signing-for-open-source-executable。我使用 Firefox 将证书导出为 PK2 文件，然后将此证书安装在 Windows 的“个人”证书存储中。之后，我可以使用上述命令对我的可执行文件进行签名：

signtool sign /fd SHA256 /a /n "<Issued_To>" /t http://timestamp.comodoca.com/authenticode <Filename>

在这里，<Issued_To> 与证书中的值匹配，<Filename> 是要签名的文件的名称。之后，可执行文件就被签名了。

- bweber

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Gerardo Grignoli · Accepted Answer

就我所知，我购买了适用于开源项目的Certum云签名，以下是我如何使其工作的方法。(我花了五个工作日的时间进行邮件沟通、尝试和错误纠正，并在波兰文件上使用google翻译, 因此也许我可以为某些人节省一点时间)

首先提供您的个人信息，一旦您收到激活令牌，您只有24小时来激活它。(即使这个信息没有明确说明，也不要像我一样拖延时间)，所以：

使用 "用于重新访问SimplySign服务的秘密" 的链接，它看起来像这样：https://cloudsign.webnotarius.pl/arc/app/resetseed?token=...

在那里，您将获得一个新代码，应该在SimplySign移动应用程序上使用(我相信是重置按钮)。

我无法在Google Play上找到SimplySign移动应用。所以我使用桌面浏览器查找应用程序(它说"此应用程序与您的设备不兼容", 和/或国家...)，并使用Chrome扩展程序下载APK，然后手动安装到我的手机上。

一旦您设置好移动应用程序，它应该每分钟生成6位数字令牌。

现在在Windows上安装SimplySign Desktop。使用您的电子邮件和移动设备上的6位数字令牌登录。一旦它说 "状态:已连接"，它就安装了一个虚拟智能卡和您的证书。SimplySign必须保持连接才能使用证书。

signtool.exe sign /n "Open Source Developer, Your Name" /fd SHA256 YourApp.exe

如果您不使用/fd SHA256，您将会得到：

SignTool Error: SignedCode::Sign returned error: 0x80090027
        The parameter is incorrect.
SignTool Error: An error occurred while attempting to sign: YourApp.exe

如果您不登录SimplySign，您将获得：

After EKU filter, 1 certs were left.
After expiry filter, 1 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

注意：不需要安装“proCertum SmartSign”应用程序。