Windows：如何使用 Certum 颁发的证书签署 exe？答案

【问题标题】：Windows: How to sign exe using certificate issued by Certum?Windows：如何使用 Certum 颁发的证书签署 exe？
【发布时间】：2017-02-21 07:38:14
【问题描述】：

我的目标是使用证书在 Windows 上签署一个未签名的可执行文件。根据我的一般知识，我知道我需要一个公钥和一个私钥对来进行数字签名。我还安装了 Windows SDK，它提供了signtool.exe 和makecert.exe。

我已经在网上获得了一个证书，包括一个CER、一个PEM和一个CRT文件。

我现在的问题是如何使用这些工具和证书文件来签署可执行文件。根据here，CRT 文件是私钥。从我目前所了解的情况来看，CER 和 PEM 文件基本相同，但编码不同。他们是为了什么？它们是公钥吗？以及如何签署我的可执行文件？

编辑：我尝试将 CRT 文件安装到证书存储区，然后使用该证书进行签名：

"C:\Program Files (x86)\Windows Kits\8.1\bin\x64\signtool.exe" sign /debug /fd SHA256 /a /n "<Issued_To>" /t http://timestamp.comodoca.com/authenticode <Filename>

这里<Issued_To> 被替换为证书中的数据，<Filename> 是我要签名的文件的名称。我从 signtool 得到的输出如下：

The following certificates were considered:
    ...

    Issued to: ...
    Issued by: Certum Code Signing CA SHA2
    Expires:   Thu Oct 12 14:37:04 2017
    SHA1 hash: BA081A67D3F2DDDC9268121DCBA04F43D6CD37FB

    ...

After EKU filter, 1 certs were left.
After expiry filter, 1 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

【问题讨论】：

标签： windows certificate digital-signature code-signing

【解决方案1】：

这解决了我的问题：http://www.anse.de/programming/code-signing-for-open-source-executable

我使用 Firefox 将证书导出为 PK2 文件。然后我将此证书安装在 Windows 上的“个人”证书存储中。之后我可以使用上述命令签署我的可执行文件：

signtool sign /fd SHA256 /a /n "<Issued_To>" /t http://timestamp.comodoca.com/authenticode <Filename>

这里<Issued_To> 与证书中的值匹配，<Filename> 是要签名的文件的名称。然后对可执行文件进行签名。

【讨论】：

【解决方案2】：

为了物有所值，我为开源项目购买了 Certum Cloud Signing，以下是我的工作方式。（我花了 5 个工作日的邮件，尝试和错误并在波兰文档上使用谷歌翻译，所以也许我为某人节省了一点时间）

您首先提供您的个人信息，一旦您收到激活令牌，您只有 24 小时的时间来激活它。（即使没有指定这个信息，也不要像我一样让时间流逝），所以：

使用链接中的“重新获得对 SimplySign 服务的访问权限的秘密”，如下所示：https://cloudsign.webnotarius.pl/arc/app/resetseed?token=...

在那里，您将获得一个新代码，您应该在 SimplySign 移动应用程序上使用它（我相信是重置按钮）。

我无法在 google play 上找到 SimplySign 移动应用程序。所以我使用桌面浏览器查找应用程序（上面写着“此应用程序与您的设备不兼容”和/或国家...）并使用 chrome 扩展程序下载了 APK，然后在我的手机上手动安装。

一旦您设置了移动应用程序，它应该每分钟左右生成 6 位数的令牌。

现在在 Windows 上安装 SimplySign Desktop。使用您的电子邮件和手机上的 6 位数令牌登录。一旦显示“状态：已连接”，它就安装了虚拟智能卡和您的证书。 SimplySign 必须保持连接，证书才能正常工作。

signtool.exe sign /n "Open Source Developer, Your Name" /fd SHA256 YourApp.exe

如果你不使用/fd SHA256，你会得到：

SignTool Error: SignedCode::Sign returned error: 0x80090027
        The parameter is incorrect.
SignTool Error: An error occurred while attempting to sign: YourApp.exe

如果您没有登录到 SimplySign，您会得到：

After EKU filter, 1 certs were left.
After expiry filter, 1 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

注意：无需安装proCertum SmartSign app。

【讨论】：

我注意到有两个选项：“我没有读卡器和加密卡（Certum 代码签名套件）”69 欧元和“我有自己的读卡器和加密卡（激活码）”25 欧元.您每年支付 69 欧元吗？他们有没有给你寄任何硬件？试图找出对我来说最低的年度成本。
这些步骤适用于open source Cloud signing，每年 49 欧元，不涉及硬件。
您也可以选择附带 USB 设备的 69 欧元选项。不知道证书什么时候到期。网络上并不清楚这件事。考虑到到阿根廷的 63,00 欧元运费，我想至少从云开始一年。