Assinatura de Código EV para Windows 7 e 8 (EV Code Signing)

Assinatura de Código EV para Windows 7 e 8 (EV Code Signing)

Pré-requisitos:

  • Certificados de Assinatura de Código de Validação Extendida instalado num token hardware.
  • Windows Software Development Kit (SDK) para Windows 8.1
  • Certificado(s) Cruzado(s) (Cross Certificates):
  • Verifique se os certificados da CA (Raíz e Intermediário) estão instalados no token junto com o certificado de assinatura do código EV para uma assinatura confiável.
  • Nota: O Certificado Cruzado R1-R3 precisará ser instalado no computador designado para assinar, mas não especificado como certificado adicional durante o processo de assinatura.


Opções Importantes do SignTool

  • /ac  -  Especifique um certificado adicional.
  • /a  -  Seleciona automaticamente o melhor certificado para assinar o arquivo no Windows Certificate Store.
  • /fd SHA256  -  Especifique o algoritmo de compilação de arquivos usado na criação de assinaturas de arquivos.
  • /n "Certificate Common Name" – Especifica o certificado para assinar o arquivo no seu repositório de certificados do Windows usando o nome comum do certificado.
  • /t  -  Especifique um servidor de carimbo de data / hora compatível (time stamp server) com Microsoft Authenticode.
  • /tr  -  Especifique um servidor de carimbo de data / hora confiável compatível (time stamp server) com RFC 3161. * Recomendado *
  • /td SHA256  -  Deve ser chamado após “ / tr”, este comando especifica o algoritmo de compilação TimeStamp. * Recomendado *
  • /sha1 Hash  -  Usado para seleccionar o certificado de assinatura pelo SHA-1 Hash (Impressão Digital).

Nota: O registro de data e hora do seu código é extremamente importante e é altamente recomendado para cada parte do código que você assina. Esse registo de data e hora permitirá que o arquivo que você assina permaneça válido por muito tempo após o vencimento do próprio certificado.  


Procedimento:

  1. Você pode assinar arquivos de um diretório ativo ou colocá-los na pasta Windows SDK \ bin.
  2. Abra o prompt de commando Windows 7: Start > Run > cmd, ou para o Windows 8, pressione a tecla the Windows, digite cmd e pressione enter.
  3. Navegue para o diretório com signtool.exe.
  4. Para Assinatura do Driver do Kernel, adquira o certificado Microsoft Code Signing Cross (vinculado nos pré-requisitos) para GlobalSign e coloque-o no seu diretório de trabalho.
  5. Use o seguinte comando para assinar o seu arquivo:

 signtool sign /a /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 c:/path/to/your/file.exe

Nota: Para a Assinatura do Driver do Kernel, inclua “/ac GlobalSign Root CA.crt” no commando signtool para concluir a cadeia de certificados cruzados.

  1. Digite a sua senha do token. Se a assinatura for bem-sucedida, irá ver um prompt informativo.
  2. Para verificar a assinatura bem-sucedida, use os seguintes comandos
    Authenticode: 
    signtool verify /v /pa
    Kernel Driver Signing: signtool verify /v /kp

 

Pode também verificar a assinatura nas propriedades do arquivo, na aba Assinaturas Digitais (Digital Signatures).

Related Articles

GlobalSign Alertas de sistema

Ver alertas recentes do sistema

Ver Alertas

Ferramenta de Inventário de Certificados

Faça a varredura de seus terminais para localizar todos os seus certificados.

Entrar / Inscrever-se

Teste de configuração SSL

Verifique a instalação do seu certificado quanto a problemas e vulnerabilidades de SSL.