对强命名的 .NET 程序集进行数字签名

Question

我有一个强烈命名的 .NET 程序集，将其放入 GAC。但是，稍后也会使用 .pfx 文件对同一程序集进行数字签名，以进行数字签名。
我注意到这个经过双重签名的程序集未能通过强名称验证，并且没有安装在目标机器的 GAC 中。

数字签名程序是否有可能删除 SN 密钥生成的强命名程序？

数字签名是必不可少的，如果两者不兼容，那么文件是否可以由.pfx文件代替，就像SN命名过程一样容易？

此外，程序集位于C++/CLI，而不是C#。

编辑：查看MSDN Documentation，它说是否使用链接器选项进行强命名，以及是否使用像mt.exe 这样的后处理工具（我不确定Signtool.exe 是否属于在这些工具中），程序集需要退出。

另外，这个声明：

如果您在开发环境中构建时使用签名属性，则可以通过在构建后事件中显式调用 sn.exe (Sn.exe (强名称工具)) 来成功签署程序集。

...有点混乱。它指的是哪些属性，CLR 属性或Linker 选项？

Answer 1

它们是兼容的，应按特定顺序应用：

1. 强名称 (sn.exe)
2. 验证码/代码签名/数字签名 (signtool.exe)

我经常这样做，对 C# 程序集没有任何问题。我不知道这对于 c++ 会有所不同。

之所以有效，是因为强名称哈希码不包括 PE 标头的某些部分，包括验证码哈希。正如这里所解释的here。

Answer 2

我们构建了一些 C++/CLI 程序集。我们使用链接器开关：

• /KEYFILE - 使用公钥选择 snk 文件
• /DELAYSIGN - 指定延迟签名

然后，在构建后事件中，我们调用 sn.exe 来应用测试签名

稍后，就在将程序集包含在合并模块中之前，我们调用：

• sn.exe - 应用真正的强名称签名
• signtool.exe - 应用 Authenticode 签名

您应该可以只使用 /KEYFILE 来指定保存您的密钥对的 snk 文件，然后只需调用 signtool 来进行 Authenticode 签名。

除非您使用其他一些后期构建工具，否则应该这样做。