VeriSign代码签名证书操作指南_VeriSign证书|微软代码签名证书|数字签名证书

 

代码签名工具下载：http://www.ert7.com/download/verisign_codesigning.rar 

一、创建证书请求

 

1.开始证书请求

 

运行“AutoCSR.bat”工具，填写证书请求信息

 

2.确认证书注册信息

 

VeriSign代码签名证书不支持中文，请确保所有请求信息使用英文或汉语拼音输入。

 

3.完成证书请求

 

4.备份密钥文件

 

将生成的mykey.key文件做好备份，等待证书的签发。

 

在您收到证书签发邮件之前，请不要删除codesign文件夹下mykey.key文件，以避免私钥丢失而无法生成签名证书。

 

二、证书注册

 

1.在线注册

 

在您确认订购VeriSign代码签名证书后，VeriSign会从 isporders@verisign.com 邮箱给您发送一封主题为“Please Complete the following VeriSign Code Signing Order(s)”的证书注册邀请邮件。

 

进入邮件中的证书注册链接：

 

2.确认证书申请信息

 

确认证书年限、初始订单或续订，并确保不要勾选“启用本地CSR生成”。

 

3.粘贴certreq.csr文件

 

使用记事本等文本编辑器打开certreq.csr文件，复制所有文件内容并粘贴到网站要求的注册表单中。

 

4.填写公司信息

 

5.填写公司联系人基本信息

 

您在注册页面中填写的单位联系人必须是您公司的正式员工！

 

您在注册页面中填写的所有联系人的邮件地址不能是免费邮箱的邮件地址！

 

由于VeriSign代码签名证书注册后台页面问题，在填写的公司联系人及技术联系人所在“州/省”字段，如果使用手动输入时报“州/省为要求字段”的错误，请在该页表单中随意选择一个。

 

6.填写技术联系人信息

 

7.检查并核对证书注册信息

 

8.完成证书注册申请

 

三、生成代码签名证书

 

当您的证书被批准后，会收到来自“isporders@verisign.com”一封主题为“您的 Code Signing Certificate 已被批准”的邮件。

 

如果您使用AutoCSR.bat工具创建证书请求，请忽略中级CA证书代码以及证书下载链接（证书下载链接仅适用于使用浏览器自动创建CSR的证书下载），并使用cert2pfx.bat工具创建代码签名证书。

 

1.接收并保存代码签名证书

 

当您的证书请求被批准后，证书将附在签发邮件正文中发送给您。完整复制证书代码（包括：“ —–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”），粘贴到记事本文档中保存，并修改文件名为mycert.cer即可。

 

2.生成签名证书

 

运行cert2pfx.bat，程序将自动查找AutoCSR文件夹下的mykey.key文件，用于创建签名证书。如果您移动过该文件，则您需要选择并输入私钥文件mykey.key路径。

 

拖放mycert.cer文件到程序窗口中。

 

设置签名证书mycert.pfx文件保护密码。

 

在命令行中，您的键盘输入有效但密码输入不会打印到屏幕中。请重复输入保护密码，并在mycert.pfx文件创建成功后，做好证书的备份保存。

 

证书证书文件创建成功

 

mycert.pfx文件默认存储于cert2pfx文件夹下。

 

3.修改pfx文件密码

 

在您完成mycert.pfx文件的创建后，如果您还需要修改该文件的保护密码，请进行如下操作：

 

双击mycert.pfx文件，使用证书导入向导，将pfx文件导入到系统存储区中。注意在导入过程中，选择“标志此密钥为可导出”。

 

其他使用默认选项，将pfx文件导入到系统存储区中。

 

证书导入完成后，打开Internet Explorer浏览器，并选择“工具”è“Internet选项”è“内容”è“证书”。在“个人”选项卡中，选中您刚刚导入的代码签名证书，并选择导出。

 

导出时注意选择“是，导出私钥”

 

同时选择“如果可能，将所有证书包括到证书路径中”

 

为了保护您的证书安全，推荐选择“如果导出成功，删除密钥”。这将在您导出包含新密码的pfx文件时，删除导入到系统存储区中的证书文件。

 

点击下一步，设置新的pfx文件保护密码和文件存储路径，完成pfx文件密码的修改。

 

四、代码签名及签名验证

 

天威诚信批量代码签名工具SignBatch.bat调用微软signtool.exe，可批量或为单个程序添加签名信息，您可以方便的使用该工具对程序进行签名操作（支持64位驱动代码签名）。

 

您还可以选购天威诚信代码签名证书USB Key存储介质，用于存储您的证书文件，以保障您的证书密钥安全性。

 

1.开始代码签名

 

运行SignBatch.bat

 

按照操作提示输入pfx文件位置、保护密码以及需要签名的代码所在路径

 

将待签名的文件或文件夹拖放入程序窗口，程序将自动为待签名文件或文件夹中的多个文件添加签名

 

输入软件描述信息

 

软件描述信息为可选输入信息。以下示例中软件描述为：“天威诚信证书测试”，点击该描述信息，将会打开您的Web浏览器程序，并自动链接到描述超链接中指定的站点（驱动代码默认不添加描述信息）。

 

如果描述信息留空，则在上图“名称”位置将显示为已签名程序的文件名。

 

程序将自动为程序添加签名

 

请留意屏幕提示信息。代码签名过程中，程序需要联接互联网获取当前Internet时间并使用时间戳服务，为代码添加时间戳。如果您在代码签名过程中，没有联接网络或使用受限的网络环境，则您将无法使用时间戳服务来进行签名。不使用时间戳服务将不会影响您的代码签名结果。

 

2.验证代码签名

 

简单的验证方式：

 

鼠标右键选中您已完成签名的代码，选择“属性”è“数字签名”。通过查看数字签名中的签名信息，确认签名已成功。

 

使用chktrust.exe验证签名：

 

 “开始”è“运行”è“CMD”，命令行进入chktrust.exe文件所在文件夹，运行命令：

 

chktrust

 

严格的验证代码签名则需要在测试环境下部署并测试您的代码。

 

USB Key代码签名

 

天威诚信代码签名证书USB Key无需安装驱动程序，即插即用。在签名过程中需要输入USB Key用户PIN码。并可设置PIN码最大错误尝试次数，当输入PIN码错误次数超过最大尝试次数时，USB Key将被锁定。

 

请将证书转换为pfx格式，并导入到USB Key中（导入过程只需要操作一次）。

 

插入您的USB Key后，请运行“USB Key Sign.bat”，将待签名的文件或文件夹拖放入程序窗口，程序将自动为待签名文件或文件夹中的多个文件添加签名。

 

在要求您输入用户PIN码时，正确输入您的用户PIN码，完成批量代码签名操作。

 

五、代码签名证书的备份

 

请妥善备份并保管您的证书密钥文件，防止未授权的证书使用及证书丢失情况的发生。您可以使用以下任意一种方式备份您的证书文件：

 

1.备份mycert.pfx文件及文件保护密码

2.保存USB Key硬件证书，并备份USB Key管理密码

 

查看原文：http://www.ert7.com/install/codeinstall/415.html

 

转载于:https://www.cnblogs.com/verisign/articles/codesign.html