微软代码签名证书使用指南(SignTool)

最新推荐文章于 2024-02-11 15:25:12 发布
最新推荐文章于 2024-02-11 15:25:12 发布
阅读量9.9k 收藏 17
点赞数
文章标签: 代码签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunfei123/article/details/84633152
版权

Windows内核代码签名证书:https://www.wosign.com/Products/WoSign_Kernel_CodeSigning.htm
代码签名工具:https://www.wosign.com/marketing/2015_WoSign_sign_tools/

本使用指南演示如何使用 WoSign微软代码签名证书 来给Windows平台代码签名,签名工具为WDK自带的签名工具软件 SignTool.exe,此签名工具软件仅支持DOS命令符方式签名。如果您希望使用图形化界面签名您的代码,则建议使用老版本的签名工具 SignCode.exe,并请参考 SignCode微软代码签名指南。

  1. 获取代码签名证书:

成功在沃通申请代码签名证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到两个文件: pfx+MS、 pvk+spc,这个是证书的两种种格式,签名普通代码需要用到 pfx 格式的证书:
在这里插入图片描述

  1. 解压证书文件:

打开 pfx+MS 文件可以看到3个文件。我们要用到pfx格式的文件,如图
![在这里插入图片描述](https://img-blog.csdnimg.cn/20181129150600328.jpg

  1. 用SignTool签名工具签名(方法一):

现在,就可以使用WDK的 SignTool 签名你的文件了,点这里 下载 Signtool签名工具。请先将您的证书XXX.pfx文件放到签名signtool工具所在目录签名命令行为:

XP,Win7用户:signtool sign /v /f xxx.pfx /p 密码 /t http://timestamp.wosign.com/timestamp test.cab

Win7,Win8用户:signtool sign /v /f xxx.pfx /p 密码 /tr http://timestamp.wosign.com/rfc3161 test.cab

其中:

(1) /v:显示详细的签名结果;

(2) /f xx.pfx:加载代码签名证书。请把颁发给你的用户证书放到signtool目录下,或者指定文件路径;

(3) /p 密码:申请证书时候设置的密码;

(4) /t,/tr:为代码加上WoSign免费时间戳,确保签名后的代码永不过期;

(5) test.cab: 就是您要签名的Windows文件,如:.cab, .dll, .exe 等文件;

(6) 如果您需要批量签名: 请点击这里

请注意:签名时,一定要保证能连上互联网,否则由于无法访问时间戳服务器而失败。

签名完成后,如果显示“Successfully signed and timestamped”(成功签名与加上时间戳),如下图所示,这表明签名已经成功:
在这里插入图片描述
用SignTool签名工具签名(方法二):

请先将您的证书XXX.pfx文件安装到windows系统中的mmc,签名命令行为:

XP,Win7用户:signtool sign /v /s my /t http://timestamp.wosign.com/timestamp test.cab

Win7,Win8用户:signtool sign /v /s my /tr http://timestamp.wosign.com/rfc3161 test.cab

其中:

(1) /v:显示详细的签名结果;

(2) /s:加载代码签名证书。请把颁发给你的用户证书安装到mmc中的用户账户中;

(3) /t,/tr:为代码加上WoSign免费时间戳,确保签名后的代码永不过期;

(4) test.cab:就是您要签名的Windows文件,如:.cab, .dll, .exe 等文件;

(5) 如果您需要批量签名:请 点击这里

请注意:签名时,一定要保证能连上互联网,否则由于无法访问时间戳服务器而失败。

签名完成后,如果显示“Successfully signed and timestamped”(成功签名与加上时间戳),如下图所示,这表明签名已经成功:
在这里插入图片描述

您还可以使用以下命令验证签名是否完全正确:

signtool verify /v /pa test.cab

如果显示如下图一样的证书签名信息,则说明签名完全没有问题!请注意:必须要有图示正确的4级证书签名路径,第1级为:StartCom Certificate Authority;第2级为:Certification Authority of WoSign;第3级为:WoSign Class 2 Code Signing CA(单位代码签名证书是class 3); 第4级为WoSign颁发给您的公司的微软代码签名证书, 如果证书公司名称为中文,则在签名工具中显示不出来(为空),但这并不影响签名效果。
在这里插入图片描述

经验证签名成功后可以放到网站上了。请注意:签名后的CAB文件放到网站上需要使用 object 方式。同时,请注意:不能仅签名CAB文件,CAB包中所有DLL文件都要先签名后再打包,再签名CAB文件,否则IE浏览器会显示为“未验证的发行者”而影响正常使用,甚至杀毒软件会认为是毒而被删除!

sunfei123
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SignTool签名工具包)
12-14
签名工具 (SignTool.exe) 签名工具是一个命令行工具,用于对文件进行数字签名,验证文件或时间戳文件中的签名。 注意 Microsoft Windows NT、Windows Me、Windows 98 或 Windows 95 中不支持签名工具。 signtool [command] [options] [file_name | ...] 参数 参数 说明 command 命令标志之一,用于指定要对文件执行的操作。 options 用于修改命令标志的选项标志之一。 file_name 要进行签名的文件的路径。 签名工具支持下列命令。 命令 说明 catdb 在目录数据库中添加或移除目录文件。 sign 对文件进行数字签名signwizard 启动签名向导。只能为文件名命令行参数指定一个文件。 timestamp 时间戳文件。 verify 验证文件的数字签名。 下列选项应用于 catdb命令。 Catdb 选项 说明 /d 指定更新默认目录数据库。如果 /d和 /g 选项都未使用,则签名工具更新系统组件和驱动程序数据库。 /g GUID 指定更新由全局唯一标识符 (GUID) 标识的目录数据库。 /r 从目录数据库中移除指定的目录。如果未指定该选项,签名工具将向目录数据库添加指定的目录。 /u 指定为添加的目录文件自动生成唯一的名称。如有必要,将重命名目录文件,以避免与现有的目录文件发生冲突。如果未指定该选项,签名工具将重写与所添加的目录同名的任何现有目录。 注意 目录数据库用于自动查找目录文件。 下列选项适用于sign命令。 Sign 选项 说明 /a 自动选择最佳的签名证书。如果未指定该选项,签名工具仅查找一个有效的签名证书。 /c CertTemplateName 指定用于对证书进行签名证书模板名(一个 Microsoft 扩展)。 /csp CSPName 指定包含私钥容器的加密服务提供程序 (CSP)。 /d Desc 指定已签名内容的说明。 /du URL 指定已签名内容的更详细说明的统一资源定位器 (URL)。 /f SignCertFile 指定文件中的签名证书。如果文件是个人信息交换 (PFX) 格式且受密码保护,则使用 /p 选项来指定密码。如果文件不包含私钥,则使用 /csp 和 /k 选项来分别指定 CSP 和私钥容器名。 /i IssuerName 指定签名证书的颁发者的名称。该值可以是整个颁发者名称的子字符串。 /k PrivKeyContainerName 指定私钥容器名。 /n SubjectName 指定签名证书的主体的名称。该值可以是整个主体名称的子字符串。 /p 密码 指定打开 PFX 文件时使用的密码。可以通过使用 /f 选项来指定 PFX 文件。 /r RootSubjectName 指定签名证书必须链接到的根证书的主体名称。该值可以是根证书的整个主题名称的子字符串。 /s StoreName 指定要在搜索证书时打开的存储区。如果未指定该选项,则打开“我的存储区”。 /sha1 哈希 指定签名证书的 SHA1 哈希。 /sm 指定使用一个计算机存储区,而不是使用用户存储区。 /t URL 指定时间戳服务器的 URL。如果该选项不存在,将不会对签名文件执行时间戳操作。如果时间戳操作失败,将生成一个警告。 /u 用法 指定签名证书中必须存在的增强型密钥用法 (EKU)。可以通过 OID 或字符串指定该用法的值。默认用法为“代码签名”(1.3.6.1.5.5.7.3.3)。 下列选项适用于 timestamp 命令。 Timestamp 选项 说明 /t URL 必选。指定时间戳服务器的 URL。要执行时间戳操作的文件必须在以前已经进行了签名。 下列选项适用于 verify 命令。 Sign 选项 说明 /a 指定可以使用所有方法来验证文件。首先,搜索目录数据库以确定是否在目录中对文件进行了签名。如果未在任何目录中对文件进行签名签名工具将尝试验证文件的嵌入签名。验证可以或不能在目录中进行签名的文件时,建议使用该选项。可以或不能签名的文件示例包括 Windows 文件或驱动程序。 /ad 使用默认的目录数据库查找目录。 /as 使用系统组件(驱动程序)目录数据库查找目录。 /ag CatDBGUID 在由 GUID 标识的目录数据库中查找目录。 /c CatFile 通过名称指定目录文件。 /o Version 通过操作系统版本验证文件。version 参数的格式为 PlatformID:VerMajor.VerMinor.BuildNumber /pa 指定使用默认的身份验证策略。如果未指定 /pa 选项,签名工具将使用 Windows 驱动程序验证策略。此选项不能与 catdb 选项一起使用。 /pg PolicyGUID 通过 GUID 指定验证策略。GUID 对应于验证策略的 ActionID。此选项不能与 catdb 选项一起使用。 /r RootSubjectName 指定签名证书必须链接到的根证书的主体名称。该值可以是根证书的整个主题名称的子字符串。 /tw 指定如果签名没有时间戳,则生成一个警告。 下列选项适用于所有签名工具命令。 全局选项 说明 /q 执行成功时不生成输出,执行失败时生成最少的输出。 /v 执行成功、执行失败或产生警告消息时生成详细输出。 备注 签名工具要求本地计算机上安装了 CAPICOM 2.0 可再发行程序。可以从 http://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm 获得 CAPICOM 2.0 可再发行程序。 签名工具的 verify 命令确定签名证书是否由受信任的颁发机构颁发、是否已撤消了签名证书,以及签名证书对于特定策略是否有效(此项可选)。 执行成功时,签名工具返回退出代码 0;执行失败时,签名工具返回退出代码 1;执行完毕并给出警告时,签名证书返回退出代码 2。
SignTool.exe(签名工具)
04-01 558
签名工具是一个命令行工具,用于用证书对文件进行数字签名,验证文件和时间戳文件中的签名。 用法:signtool [command] [options] [file_name | ...] command 指定要对文件执行的操作的四个命令之一(catdb、sign、Timestamp 或 Verify)。 options 用于...
Windows SDK SignTool.exe 微软文件签名工具的使用
热门推荐
NULL BLOG
12-12 1万+
签名工具 SignTool.exe .NET Framework 4.5 其他版本   .NET Framework 4.NET Framework 3.5.NET Framework 2.0 0(共 1)对本文的评价是有帮助-评价此主题 签名工具是一个命令行工具,用于对文件进行数字签名,验证文件和时间戳文件中的签名
vs2019 - signtool签名和验签的手工操作
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
02-11 1086
signtool是进行code sign用的工具. 装了vs2019后自带(SDK中的工具).code sign代码签名, 是用证书对PE文件进行签名.前面实验用openssl已经生成了自签名证书, 现在用vs2019自带的signtool试试code sign签名和验签.对PE文件进行了代码签名后, 在程序中的逻辑, 就可以判断自己程序的PE有没有被第三方改过.
signtools数字签名工具
10-20
signtools数字签名工具,制作cab文件数字签名时用
通过signtool进行数字签名和验证签名
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
08-10 1647
通过signtool进行数字签名和验证签名
使用signTool为文件进行签名
S无影者的博客
01-18 1597
签名步骤(均需要在cmd下执行) 1. 创建证书 makecert -sv my.pvk -r -n “CN=我的公司” my.cer 在弹出的界面设置密码,我设置为123456 2. 创建发行者证书 cert2spc my.cer my.spc 3. 导出pfx证书文件 pvk2pfx -pvk my.pvk -pi 123456 -spc my.spc -pfx my.pfx -f 123456为第一步设置的密码 4. 签名exe文件 signtool sign /f my.pfx /p
windows下发布安装程序签名_signTool.exe工具使用
lichao201005的专栏
08-11 2338
问题描述: Qt自制了一款exe安装包,放在互联网上供别人下载,但下载后运行,提示: 经查安装包需要进行数字签名。 数字证书的目的就是防止软件被篡改,表明软件的签发日期。对于我们来说最重要的防止被当病毒查杀。所以这就需要受信任的机构颁发的证书。 主要使用的工具:signTool.exe,命令行运行,但不能cmd,需要“VS开发人员命令提示”,且以管理员运行。 步骤: 1、创建 X.509 证书 工具:Makecert.exe(证书创建工具) 证书创建工具生成仅用于测试目的的 X.509
应用签名生成工具_实战经验:给应用程序添加代码签名
weixin_39646084的博客
11-24 543
问题在一次开发过程中,碰到了这样一个问题:应用程序在VS2010中已经启用了”需要管理员权限”,但是当UAC提示框出现时,应用程序因为Windows安全机制的限制,无法访问UAC,也即应用程序无法使用SendInput来模拟鼠标和键盘操作。经过一番研究,发现应用程序需要做如下的配置,才能实现UAC界面的访问:1) 强制应用程序以管理员权限启动,这个可以在VS2010中设置,如下所示:2) 应用程序...
64位驱动证书签名工具signtool.exe
09-27
SignTool.exe 驱动证书签名工具,64位windows操作系统下的驱动需要使用该工具进行签名。 MSCV-VSClass3.cer 交叉签名证书。11
signtool.exe
01-29
签名时出错: 未在路径 C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\bin\signtool.exe 找到 SignTool.exe
签名工具使用方法signtool.docx
08-07
电信签名工具使用方法,给不会用的小白准备的,少走弯路
使用signtool进行签名和验证签名的小测试
08-10
使用signtool进行签名和验证签名的小测试
签名signtool与使用批处理
09-21
签名signtool与使用批处理,使用时请修改批处理内容,将对应内容修改为自己需要的,此工具只需要私钥密码与pfx证书即可。
signtool GUI 2.2微软代码签名工具.rar
09-03
SignGUI提供了2个时间戳添加功能,有需求的可自行添加其它时间戳地址,本软件收录了目前互联网上开放的免费时间戳,具体支持的文件格式请参考微软signtool/signcode的说明。浏览选择待签署文件,及匙包文件和匙包...
python学习导航.txt
05-06
python
node-v8.3.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
signtool .cer交叉签名证书签名
10-21
signtool命令是一个用于在Windows操作系统上执行数字签名操作的工具。它可以用来签署文件、驱动程序和其他代码,以证明文件的来源和完整性。 cer交叉签名证书是一种由多个可信的证书颁发机构(CA)共同签名证书。这些证书可以用于证明软件代码或文件的可靠性和安全性。 使用signtool工具对cer交叉签名证书进行签名的步骤如下: 1. 首先,确保你拥有有效的cer交叉签名证书文件和对应的私钥。 2. 打开命令提示符,导航到signtool工具的安装目录。 3. 使用以下命令对文件进行签名signtool sign /f <证书文件名>.cer /p <密码> <要签名的文件路径> 其中,<证书文件名>是你的cer交叉签名证书文件的名称,<密码>是你的证书的密码,<要签名的文件路径>是你要签名的文件的完整路径。 4. 运行命令后,signtool将会使用你提供的证书和私钥对文件进行签名,并在签名操作完成后给出相应的提示。 请注意,为了成功执行签名操作,你需要确保你的证书和私钥是有效的,并且正确地提供了证书文件名和密码。签署的文件将获得一个数字签名,以证明其来自于你所使用的证书,并且文件在签名之后没有被更改过。签名后的文件可以通过验证工具进行验证,以确认其完整性和来源的可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值