30 de nov. de 2021

Assinatura de Código EV para Windows 7 e 8 (EV Code Signing)

Pré-requisitos:

• Certificados de Assinatura de Código de Validação Extendida instalado num token hardware.
• Windows Software Development Kit (SDK) para Windows 8.1
• Certificado(s) Cruzado(s) (Cross Certificates):
  • MS Cross Certificate for R1 – Usado para Assinatura de Driver do Kernel (Kernel Driver Signing) no Windows.
  • Os Certificados de Assinatura de Código EV exigirão o R1-R3 Cross Certificate 
• Verifique se os certificados da CA (Raíz e Intermediário) estão instalados no token junto com o certificado de assinatura do código EV para uma assinatura confiável.
• Nota: O Certificado Cruzado R1-R3 precisará ser instalado no computador designado para assinar, mas não especificado como certificado adicional durante o processo de assinatura.

Opções Importantes do SignTool

• /ac  -  Especifique um certificado adicional.
• /a  -  Seleciona automaticamente o melhor certificado para assinar o arquivo no Windows Certificate Store.
• /fd SHA256  -  Especifique o algoritmo de compilação de arquivos usado na criação de assinaturas de arquivos.
• /n "Certificate Common Name" – Especifica o certificado para assinar o arquivo no seu repositório de certificados do Windows usando o nome comum do certificado.
• /t  -  Especifique um servidor de carimbo de data / hora compatível (time stamp server) com Microsoft Authenticode.
• /tr  -  Especifique um servidor de carimbo de data / hora confiável compatível (time stamp server) com RFC 3161. * Recomendado *
• /td SHA256  -  Deve ser chamado após “ / tr”, este comando especifica o algoritmo de compilação TimeStamp. * Recomendado *
• /sha1 Hash  -  Usado para seleccionar o certificado de assinatura pelo SHA-1 Hash (Impressão Digital).

Nota: O registro de data e hora do seu código é extremamente importante e é altamente recomendado para cada parte do código que você assina. Esse registo de data e hora permitirá que o arquivo que você assina permaneça válido por muito tempo após o vencimento do próprio certificado.  

Procedimento:

1. Você pode assinar arquivos de um diretório ativo ou colocá-los na pasta Windows SDK \ bin.
2. Abra o prompt de commando Windows 7: Start > Run > cmd, ou para o Windows 8, pressione a tecla the Windows, digite cmd e pressione enter.
3. Navegue para o diretório com signtool.exe.
4. Para Assinatura do Driver do Kernel, adquira o certificado Microsoft Code Signing Cross (vinculado nos pré-requisitos) para GlobalSign e coloque-o no seu diretório de trabalho.
5. Use o seguinte comando para assinar o seu arquivo:

 signtool sign /a /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 c:/path/to/your/file.exe

Nota: Para a Assinatura do Driver do Kernel, inclua “/ac GlobalSign Root CA.crt” no commando signtool para concluir a cadeia de certificados cruzados.

7. Digite a sua senha do token. Se a assinatura for bem-sucedida, irá ver um prompt informativo.
8. Para verificar a assinatura bem-sucedida, use os seguintes comandos
   Authenticode: signtool verify /v /pa
   Kernel Driver Signing: signtool verify /v /kp

 

Pode também verificar a assinatura nas propriedades do arquivo, na aba Assinaturas Digitais (Digital Signatures).