Assinatura de Código EV para Windows 7 e 8 (EV Code Signing)
30 de nov. de 2021
Assinatura de Código EV para Windows 7 e 8 (EV Code Signing)
Pré-requisitos:
- Certificados de Assinatura de Código de Validação Extendida instalado num token hardware.
- Windows Software Development Kit (SDK) para Windows 8.1
- Certificado(s) Cruzado(s) (Cross Certificates):
- MS Cross Certificate for R1 – Usado para Assinatura de Driver do Kernel (Kernel Driver Signing) no Windows.
- Os Certificados de Assinatura de Código EV exigirão o R1-R3 Cross Certificate
- Verifique se os certificados da CA (Raíz e Intermediário) estão instalados no token junto com o certificado de assinatura do código EV para uma assinatura confiável.
- Nota: O Certificado Cruzado R1-R3 precisará ser instalado no computador designado para assinar, mas não especificado como certificado adicional durante o processo de assinatura.
Opções Importantes do SignTool
- /ac - Especifique um certificado adicional.
- /a - Seleciona automaticamente o melhor certificado para assinar o arquivo no Windows Certificate Store.
- /fd SHA256 - Especifique o algoritmo de compilação de arquivos usado na criação de assinaturas de arquivos.
- /n "Certificate Common Name" – Especifica o certificado para assinar o arquivo no seu repositório de certificados do Windows usando o nome comum do certificado.
- /t - Especifique um servidor de carimbo de data / hora compatível (time stamp server) com Microsoft Authenticode.
- /tr - Especifique um servidor de carimbo de data / hora confiável compatível (time stamp server) com RFC 3161. * Recomendado *
- /td SHA256 - Deve ser chamado após “ / tr”, este comando especifica o algoritmo de compilação TimeStamp. * Recomendado *
- /sha1 Hash - Usado para seleccionar o certificado de assinatura pelo SHA-1 Hash (Impressão Digital).
Nota: O registro de data e hora do seu código é extremamente importante e é altamente recomendado para cada parte do código que você assina. Esse registo de data e hora permitirá que o arquivo que você assina permaneça válido por muito tempo após o vencimento do próprio certificado.
Procedimento:
- Você pode assinar arquivos de um diretório ativo ou colocá-los na pasta Windows SDK \ bin.
- Abra o prompt de commando Windows 7: Start > Run > cmd, ou para o Windows 8, pressione a tecla the Windows, digite cmd e pressione enter.
- Navegue para o diretório com signtool.exe.
- Para Assinatura do Driver do Kernel, adquira o certificado Microsoft Code Signing Cross (vinculado nos pré-requisitos) para GlobalSign e coloque-o no seu diretório de trabalho.
- Use o seguinte comando para assinar o seu arquivo:
signtool sign /a /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 c:/path/to/your/file.exe
Nota: Para a Assinatura do Driver do Kernel, inclua “/ac GlobalSign Root CA.crt” no commando signtool para concluir a cadeia de certificados cruzados.
- Digite a sua senha do token. Se a assinatura for bem-sucedida, irá ver um prompt informativo.
- Para verificar a assinatura bem-sucedida, use os seguintes comandos
Authenticode: signtool verify /v /pa
Kernel Driver Signing: signtool verify /v /kp
Pode também verificar a assinatura nas propriedades do arquivo, na aba Assinaturas Digitais (Digital Signatures).
Related Articles
Atlas Discovery
Faça a varredura de seus terminais para localizar todos os seus certificados.
Inscrever-seTeste de configuração SSL
Verifique a instalação do seu certificado quanto a problemas e vulnerabilidades de SSL.