Використання MS Authenticode Code Sign Сертифікату для підпису програмного коду додатків програм ядра Windows в Україні

Інструкція по використанню Microsoft Authenticode

Problem

Для підпису коду сертифікатами Microsoft Authenticode або Microsoft Office або VBA завантажте і інсталюйте

Основні аргументи, які підтримує SignTool.

  1. sign : Конфігурує інструмент для підпису потрібного файлу
  2. verify : перевіряє цифровий підпис файлів, визначаючи, чи був сертифікат підпису видано довіреним органом, чи відкликанний сертифікат підпису і, необов'язково, чи дійсний сертифікат підпису для конкретної політики.
  3. /a: автоматично вибирає найкращий сертифікат підпису. Sign Tool знайде всі дійсні сертифікати, які задовольняють всім зазначеним умовам, і вибере той, який дійсний протягом найтривалішого часу. Якщо ця опція відсутня, Sign Tool очікує знайти тільки один дійсний сертифікат підпису.
  4. /f : вказує сертифікат підпису у файлі. Підтримується тільки формат файлу обміну особистою інформацією (PFX)
  5. /fd : Визначає алгоритм дайджесту файлу, який буде використовуватися для створення підписів файлу. За замовчуванням це SHA1.
  6. /n : визначає загальне ім'я сертифіката. Використовуйте цю опцію, якщо у вас є сертифікати, видані більш ніж одній організації у вашому сховищі сертифікатів.
  7. /p : якщо файл у форматі PFX захищений паролем, використовуйте параметр / p, щоб вказати пароль
  8. /pa : вказує, що використовується політика перевірки автентичності за замовчуванням.
  9. /s : вказує сховище сертифікатів (якщо сертифікат імпортовано в персональне сховище, сховище SPCCertificateStore має значення MY)
  10. /t : вказує, що цифровий підпис буде мати позначку часу, зазначену Центром часу (TSA), зазначеним в URL
  11. /tr : вказує URL-адресу сервера відміток часу RFC 3161. Цей параметр не можна використовувати з параметром /t.
  12. /v : визначає детальний параметр для успішного виконання і попереджувальних повідомлень.

Кроки підписання

  1. Go to: Start > Run
  2. Type CMD > click OK
  3. At the command prompt, enter the directory where signtool exists using the CD command to change to that directory, the default directory is:
    CD C:\Program Files (x86)\Windows Kits\8.1\bin\x64

    Note: Зазначений вище каталог може відрізнятися.
  4. Виконайте одну з наступних команд підпису нижче.

Рекомендуємо використовувати сервіс міток часу SHA256 в майбутньому і не використовувати сервіс SHA1, якщо не існує застарілого обмеження платформи, яке не дозволяє використовувати сервіс SHA2.

SignTool буде використовувати SHA-1 в якості алгоритму дайджесту підпису за замовчуванням, навіть якщо ви використовуєте сертифікат SHA-256. Будь ласка, використовуйте команду, щоб додати відповідний алгоритм дайджесту підпису.

Note: The SHA-1 timestamping URL is http://timestamp.verisign.com/scripts/timstamp.dll
(Ім'я файла timstamp.dll потрібно для відповідності старої угоди про імена MS-DOS).

Наступний синтаксис підписує файл, використовуючи сертифікат, що зберігається в вашому особистому сховище сертифікатів.

Перевірте свій підпис одним з методів

Використовуючи signtool

  1. Go to: Start > Run
  2. Type CMD > click OK
  3. У командному рядку введіть каталог, в якому існує signtool
  4. Виконайте команду:
signtool.exe verify /pa /v "C:\filename.dll"

Використовуючи Windows

  1. Клацніть правою кнопкою миші підписаний файл
  2. Виберіть Властивості
  3. Виберіть вкладку Цифрові підписи. Підпис буде відображатися в розділі списку підписів.

Додаткова інформація: