如何使用扩展验证证书以编程方式签署 HCK 提交

Question

我们有一个用 C# 编写的小应用程序，用于在 *.hckx 文件提交给 Microsoft 进行签名之前对其进行签名。

应用程序代码看起来像这样：

var workDirectory = new System.IO.DirectoryInfo(args[0]);
var filesToSign = from item in workDirectory.GetFiles("*.hckx", System.IO.SearchOption.TopDirectoryOnly) select item.FullName;

X509Certificate2 certificate = getCerticifate();
foreach (var item in filesToSign)
{
  Console.WriteLine("Signing: {0}", item);
  Microsoft.Windows.Kits.Hardware.ObjectModel.Submission.PackageManager.Sign(item, certificate);
  Console.WriteLine("Signing finished");
  var manager = new Microsoft.Windows.Kits.Hardware.ObjectModel.Submission.PackageManager(item);
  Console.WriteLine("Verifying the signature.");
  var signResult = manager.VerifySignature();
  if (signResult != System.IO.Packaging.VerifyResult.Success)
  {
    throw new Exception(String.Format("Verification failed. Expected: {0}, but the result was: {1}.", System.IO.Packaging.VerifyResult.Success, signResult));
  }
}

该代码适用于以前的“常规”证书。

对于新的 EV 证书，会显示一个额外的窗口，要求输入证书的 PIN。

所以问题是： 是否有允许以编程方式使用 EV 证书进行完整签名的接口/类？

我希望 PackageManager.Sign 方法可以提供 PIN 作为参数。

Answer 1

这对我们有用：在我们的系统中有与“身份验证代理”相关的 EV 证书 USB 令牌，并且在高级客户端设置中有一个“单次登录”设置，以便代理只询问一次 USB 令牌密码并保留密码直到桌面会话关闭。对于桌面，还要检查是否没有屏幕保护程序关闭打开的桌面。代理设置中还有一个用于“自动注销”的附加计时器设置。我们将其设置为“从不”。如果我们需要删除令牌并将其附加回系统，我们只需要再次提供 EV 令牌密码。然后我们只需运行一个小脚本来做一个测试签名并在打开的对话框中输入密码。