Assinatura de código para Windows 7, 8 e 10

5 de dez. de 2021

Assinatura de código para Windows 7, 8 e 10

Introdução:

Este artigo será o artigo padrão após a implementação dos novos Requisitos Mínimos para Assinatura de Código em 1º de fevereiro de 2017.

Pré-requisitos:

• Certificado de assinatura de código GlobalSign baixado e instalado em um token de hardware.
•  Windows Software Development Kit (SDK) para Windows 8.1
• Certificado cruzado MS para R1 - usado para assinatura de driver de kernel no Windows
• Os pedidos SHA-256, adicionalmente, usam o certificado cruzado R1-R3 - padrão 31 de março de 2014 e depois. (O certificado cruzado R1-R3 precisará ser instalado no computador de assinatura, mas não especificado como um certificado adicional durante o procedimento de assinatura)

Opções importantes do SignTool:

•  / ac - especifique um certificado adicional.
•  / a - seleciona automaticamente o melhor certificado para assinar o arquivo de seu armazenamento de certificados do Windows.
•  / n "Nome comum do certificado" Especifica o certificado para assinar o arquivo do Armazenamento de certificados do Windows usando o nome comum do certificado.
• / fd SHA256 - Especifique o algoritmo de resumo do arquivo usado na criação de assinaturas de arquivo.
• / t - especifica um servidor de carimbo de data / hora compatível com Microsoft Authenticode.
•  / tr - Especifique um servidor de carimbo de data / hora confiável compatível com RFC 3161. *Recomendado *
• / td SHA256 - Deve ser chamado após "/ tr", este comando especifica o Algoritmo de resumo do TimeStamp. *Recomendado*

Observação: registrar a data e hora de seu código é extremamente importante e altamente recomendado para cada parte do código que você assinar. Este carimbo de data / hora permitirá que o arquivo que você assina permaneça válido por muito tempo após a expiração do próprio certificado.

URLs de carimbo de data / hora:

Baseado em SHA-2: http://timestamp.globalsign.com/tsa/r6advanced1

Procedimento:

1. Você pode assinar arquivos de um diretório de trabalho ou colocá-los na pasta Windows SDK \ bin.
2. Abra o Prompt de Comando: Windows 7: Iniciar> Executar> cmd ou, no Windows 8 - 10, pressione a tecla Windows, digite cmd e pressione Enter.
3. Navegue até o diretório com signtool.exe.
4. Use o seguinte comando para assinar seu arquivo: signtool sign / a / tr http://timestamp.globalsign.com/tsa/r6advanced1 / td SHA256 c: /path/to/your/file.exe 
   
    Nota: Para assinatura de driver de kernel, inclua o argumento “/ ac GlobalSign Root CA.crt” para o comando signtool a fim de completar a cadeia de certificado cruzado MS. sign / a / ac GlobalSign Root CA.crt / tr http://timestamp.globalsign.com/tsa/r6advanced1 / td SHA256 c: /path/to/your/file.exe
5. Digite a sua senha do token. Se a assinatura for bem-sucedida, você verá um prompt informando sobre isso.
6. Para verificar a assinatura bem-sucedida, use os seguintes comandos:
   Authenticode: signtool verify / v / pa
   Assinatura do driver do kernel: signtool, verificar / v / kp

    Você também pode verificar a assinatura nas propriedades do arquivo, na guia Assinaturas digitais.