13 нояб. 2024 г.

Подпись кода для Windows 7, 8 и 10 с использованием Signtool

Введение

Эта статья станет по умолчанию основной после внедрения новых минимальных требований к подписи кода 1 февраля 2017 года.
 

Требования

• Сертификат подписи кода GlobalSign должен быть загружен и установлен на аппаратный токен.
• Комплект для разработки программного обеспечения Windows (SDK) для Windows 8.1
• Заказы SHA-256 дополнительно используют перекрестный сертификат R1-R3 – по умолчанию 31 марта 2014 года и после. (Перекрестный сертификат R1-R3 необходимо будет установить на подписывающий компьютер, но не указывать в качестве дополнительного сертификата во время процедуры подписи) 
• Для заказов SHA-256 может дополнительно потребоваться кросс-сертификат GlobalSign Code Signing Root R45 (R3 cross). 
  Кросс-сертификат GlobalSign Code Signing Root R45 (R3 cross) должен быть установлен на подписывающем компьютере, но не указан в качестве дополнительного сертификата во время процедуры подписи. 

 

Важные параметры инструмента подписи (SignTool)

• /ac - Укажите дополнительный сертификат.
• /a - Автоматически выбирает лучший сертификат для подписи файла из хранилища сертификатов Windows.
• /n "Основное имя сертификата" (Certificate Common Name) Указывает сертификат для подписи файла из хранилища сертификатов Windows с использованием основного имени сертификата.
• /fd SHA256 - Укажите алгоритм дайджеста файла, используемый при создании подписей файлов.
• /t - Укажите сервер временных меток, совместимый с Microsoft Authenticode.
• /tr - Укажите доверенный сервер временных меток, соответствующий стандарту RFC 3161.* Рекомендуется*
• /td SHA256 - Должен вызываться после "/tr", эта команда определяет алгоритм дайджеста временных меток. * Рекомендуется*

 

Примечание. Временная метка в вашем коде чрезвычайно важна и настоятельно рекомендуется для каждого фрагмента кода, который вы подписываете.

Эта отметка времени позволит файлу, который вы подписываете, оставаться действительным еще долгое время после истечения срока действия самого сертификата.

 

URL-адреса временных меток:

На основе SHA-2: http://timestamp.globalsign.com/tsa/r6advanced1
 

Процесс

1. Вы можете либо подписать файлы из рабочего каталога, либо поместить их в папку Windows SDK\bin.

2. Откройте командную строку: Windows 7: Пуск > Выполнить > cmd или для Windows 8-10 нажмите клавишу Windows, затем введите cmd и нажмите enter.

3. Перейдите в каталог с signtool.exe .

4. Используйте следующую команду, чтобы подписать свой файл:
signtool sign /a /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 c:/path/to/your/file.exe

5. Введите свой пароль токена. Если подпись пройдет успешно, вы увидите уведомление об этом.

6. Для проверки успешной подписи используйте следующие команды: signtool verify /v /pa 
    Kernel Driver Signing: signtool verify /v /kp 

 

Вы также можете проверить подпись в свойствах файла на вкладке Цифровые подписи.