使用signtool签署代码时如何包含整个认证路径？

Question

在使用signtool 对代码进行签名时如何包含整个认证路径？

旧版本的 signtool 会在数字签名中包含整个证书路径。现在如果我用signtool签署一个可执行文件：

signtool.exe" sign /v /f avatar.pfx -t "http://timestamp.verisign.com/scripts/timstamp.dll" app.exe

签名无效：

这是因为没有认证路径：

使用旧版本 signtool 签名的二进制文件运行良好：

我如何告诉 signcode 在签名时包含整个证书路径？

签署二进制文件的正确方法是什么？

---

更新：SignTool版本6.1.7600.16385：

另见

• How can I sign an ActiveX control with a code signing certificate and be a verified publisher?
• Signing WinForms ClickOnce app with Certificate Chain
• ClickOnce: Certificate cannot be validated

Answer 1

验证码签名文档

• Windows Authenticode 可移植可执行签名格式 (.docx ^?)

表示 PKCS #7 SignedData 结构...

...包含签名者证书和任何中间证书，但通常不包含根证书。

但是，正如我在“DOH！”中发现的那样此刻，signtool.exe 必须能够找到包含它们的证书。

叶证书在命令行中提供。但是链上剩余证书的识别不包括在哪里可以找到证书。 signtool 确实会检查系统证书存储，因此如果在那里找到它们，它们就会被添加到二进制文件中。如果没有找到，signtool 只会将叶子证书放入已签名的二进制文件中。

请注意，如果中间证书不在签名二进制文件中，而是在系统的系统证书存储中检查签名，二进制文件仍然会通过验证，因为可以解析链。

还要注意，从签名二进制文件中排除根是有道理的，因为根必须独立地在系统上检查签名以使其受信任，因此无论如何它都会被忽略。 （在二进制文件中包含根的唯一真正好处是如果有人想手动导入根证书，这几乎总是一个非常糟糕的主意。）

Answer 2

使用/ac 并传递您的证书所在的.cer 的文件名（对于Verisign，上次我在签署内核代码或其他特殊代码时检查它被称为MSCV-VSClass3.cer）。

signtool.exe sign /v /f "Avatar.pfx" 
      /ac "Thawte Code Signing CA - G2.cer" 
      -t "http://timestamp.verisign.com/scripts/timstamp.dll" app.exe

这应该由您的 CA 提供。通常，MS 会为其在 Windows 中接受的各种 CA 提供捆绑包。

见：

• Windows root certificate program members ^?
• Cross-Certificates for Kernel Mode Code Signing ^?

无论哪种方式，据我所知，这仅对内核代码和非常具体的其他东西（例如 Windows 安全中心）是必需的。

Answer 3

如果您使用 Thawte，请下载他们的 primaryca.cer。

下载到文件primaryca.cer 并使用：

signtool sign /f certificate.pfx /p PASSWORD /ac primaryca.cer APP.exe.

应该可以。