Windows代码签名过程及MS signtool.exe的替代方案？

这里有一个叫做kSign的工具，他们的博客上还有一篇关于如何与Inno Setup集成的文章。

它并不能完全替代signtool（即无法签名驱动程序包中涉及到的.cat和.sys文件），但它可以数字签名EXE、DLL、COM、CAB和OCX文件。

一种替代 signtool 的工具是 Mono 的 signcode。Mozilla Developer Network 有一篇非常有用的文章，介绍了如何将证书转换为 SPC/PVK 格式，并使用 Authenticode 对你的 EXE 文件进行签名：

将 PFX 转换为 SPC/PVK

openssl pkcs12 -in authenticode.pfx -nocerts -nodes -out key.pem
openssl rsa -in key.pem -outform PVK -pvk-strong -out authenticode.pvk
openssl pkcs12 -in authenticode.pfx -nokeys -nodes -out cert.pem
openssl crl2pkcs7 -nocrl -certfile cert.pem -outform DER -out authenticode.spc

Sign EXE

signcode \
 -spc authenticode.spc \
 -v authenticode.pvk \
 -a sha1 -$ commercial \
 -n My\ Application \
 -i http://www.example.com/ \
 -t http://timestamp.verisign.com/scripts/timstamp.dll \
 -tr 10 \
 MyApp.exe

口令短语

与 signtool 不同的是，signcode 需要从标准输入读取口令短语，而非作为命令行参数传入。您可以使用 signcode [arguments] < passphrase.txt 的方式来输入口令短语。

尝试使用这个免费应用程序，它还允许您设置已签名可执行文件的其他属性，例如公司名称、详细信息、产品名称等。

Catch 22：我听说的唯一代码签名工具是signtool.exe，但必须下载并安装至少590 MB的其他内容（SDK）才能获得。
不需要安装整个SDK就可以安装signtool.exe。使用SDK Web安装程序，只选择安装“工具”即可。
然而，坏消息是，如果您没有CA签名证书，则没有签名工具可以帮助您绕过Windows警告，因为无法从无中创建任何东西。好消息是，许多CA为开源开发人员提供免费的代码签名证书，但您应该仅使用它来签署免费软件。所以，这是你的选择：向CA支付并继续销售你的软件，或者不付费并免费分发它。看起来很公平。