Подпиcь кода с расширенной проверкой (EV Code Signing) для Windows 7 и 8

Требования 

• Сертификат подпиcи кода с расширенной проверкой GlobalSign, установленный на аппаратный токен.

• Пакет средств разработки программного обеспечения Windows (SDK) для Windows 8.1

• Перекрестный сертификат (сертификаты): 

             - Для сертификатов EV Code Signing потребуется перекрестный сертификат R1-R3 –

• Для заказов SHA-256 может дополнительно потребоваться кросс-сертификат GlobalSign Code Signing Root R45 (R3 cross). 
  Кросс-сертификат GlobalSign Code Signing Root R45 (R3 cross) должен быть установлен на подписывающем компьютере, но не указан в качестве дополнительного сертификата во время процедуры подписи. 

• Убедитесь, что сертификаты УЦ (Корневой и промежуточный) установлены на токен вместе с сертификатом EV Code Signing для доверенной подписи

Важные опции SignTool

• ac – Указывает дополнительный сертификат.

• /a - Автоматически выбирает лучший сертификат для подписи файла из хранилища сертификатов Windows.

• /fd SHA256 - Указывает  алгоритм обработки файлов, используемый при создании подписей файлов.

• /n "Основное имя сертификата" (Certificate Common Name) Указывает сертификат для подписи файла из хранилища сертификатов Windows с использованием основного 

• /t – Указывает  сервер временных меток, совместимый с Microsoft Authenticode.

• /tr - Указывает  надежный сервер временных меток, соответствующий стандарту RFC 3161.* Рекомендуется*

• /td SHA256 - Должна вызываться после "/tr", эта команда определяет алгоритм дайджеста временных меток. *Рекомендуется*

• /Хэш sha1 - Используется для выбора сертификата подписи по хэшу SHA-1 (отпечаток большого пальца). 

Примечание: Временная метка в вашем коде чрезвычайно важна и настоятельно рекомендуется для каждого фрагмента кода, который вы подписываете. Данная временная метка позволит файлу, который вы подписываете, оставаться действительным в течение долгого времени после истечения срока действия самого сертификата. 

Процедура установки

Посмотрите обучающее видео ниже: 

https://youtu.be/y00n9alXHGs  

Либо ознакомьтесь с пошаговой инструкцией ниже. 

1. Вы можете либо подписывать файлы из рабочего каталога, либо размещать их в папке Windows SDK\bin.

2. Откройте командную строку: Windows 7: Пуск (Start) > Выполнить (Run) > cmd, или для Windows 8 нажмите клавишу Windows, затем введите cmd и нажмите enter.

3. Перейдите в каталог с помощью signtool.exe.

4. Используйте следующую команду, чтобы подписать свой файл: 
   signtool sign /a /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 c:/path/to/your/file.exe 

5. Введите свой пароль токена. Если подпись пройдет успешно, вы увидите уведомление об этом.

6. Для проверки успешной подписи используйте следующие команды: 

Authenticode:  signtool verify /v /pa
Подпись драйвера ядра:  signtool verify /v /kp

Вы также можете проверить подпись в свойствах файла на вкладке Цифровые подписи (Digital Signatures).