微软代码签名证书使用指南
來源:http://***/support/signcode_guide.htm
| ???本使用指南演示怎樣使用WoSign代碼簽名證書來給微軟代碼簽名,Thawte和VeriSign代碼簽名證書也是使用相同方法,僅僅是使用不同的時間戳URL。 ????用戶在在線申請代碼簽名證書時會生成證書私鑰文件,如:myCert.pvk,而代碼簽名證書成功頒發后的證書文件為公鑰文件,如:myCert.spc,又稱:軟件發行證書(Software Publishing Certificate) 。 代碼簽名證書一般都是採用公鑰和私鑰分離的兩個文件方式,適合于 DOS 命令行方式的代碼簽名。假設您您希望把代碼簽名證書導入到Windows證書存儲區中,從而簡化簽名操作,請參考:不同證書格式轉換指南。 ????WoSign代碼簽名證書的根證書鏈為: UTN-USERFirst-Object - WoSign Code Signing Authority ??? 使用微軟的 SignCode.exe 就能夠對微軟的代碼進行簽名,假設您沒有此文件,點擊 這里 下載。 Signcode.exe 能夠使用 DOS 命令行方式實現簽名,我們推薦用戶使用數字簽名向導方式,簡單方便。請注意:假設您開發的ActiveX為IE載入項,請先數字簽名每一個CAB文件里的.dll和.ocx等文件,再把這些文件打包成.cab文件后再數字簽名.cab文件,以確保全部IE載入項都被IE驗證和信任,否則會顯示“未驗證”而可能影響正常執行。 ??? 詳細簽名向導步驟例如以下: ????(1) 執行 Signcode.exe , 要求您選擇須要簽名的文件,支持:可執行文件 (*.exe; *.dll; *.ocx) ; Cabinet 打包文件 (*.cab) 和文件夾文件 (*.cat) ,例如以下圖 1 所看到的 ( 如: TestSign.cab) ,請注意:假設簽名的文件已經有數字簽名,則會被新的簽名覆蓋: | ||
| ????(2) 點擊“下一步”后,例如以下圖 2 所看到的,會要求您選擇“簽名類型”,缺省的“典型”簽名類型;請選擇“自己定義” 簽名類型: | ||
| ????(3) 例如以下圖 3 所看到的,點擊“從文件選擇”簽名證書 ( 公鑰文件 ),如: WotoneCS.spc : | ||
| ????(4) 點擊“下一步”后,例如以下圖 4 所看到的,會要求您選擇私鑰文件,如: WotoneCS.pvk ,其它參數不用動: | ||
| ????(5) 點擊“下一步”后,例如以下圖 5 所看到的,會提示要求輸入私鑰password: | ||
| ????(6) 點擊“下一步”后,例如以下圖 6 所看到的,會提示要求選擇散列算法 ( 摘要算法、縮微圖算法 ) ,缺省為 sha1 ,也能夠選 md5 : | ||
| ????(7) 點擊“下一步”后,例如以下圖 7 所看到的,選擇哪些證書包含到數字簽名中,直接點擊“下一步”就可以,即選擇缺省的包含根證書: | ||
| ????(8) 例如以下圖 8 所看到的,要求填寫該簽名代碼的功能描寫敘述,推薦一定要認真填寫,由于此信息將會在終于用戶下載此代碼時顯示,有助于終于用戶了解此代碼的功能以確定是否下載安裝。第一行“描寫敘述”是指此代碼的功能文字描寫敘述,第二行“ Web 位置”則讓終于用戶點擊文字描寫敘述來具體了解此代碼的功能和用法等,本演示中的“ Web 位置”為WoTrust代碼簽名證書簡單介紹頁面: | ||
| ????(9) 點擊“下一步”后,例如以下圖 9 所看到的,選中“將時間戳加入到數據中”,請使用: WoSign 免費提供的時間戳服務URL: http://timestamp.wosign.com/timestamp ????時間戳服務很重要,加入時間戳后,即使您的代碼簽名證書已經過期,但因為您的代碼是在證書有效期內簽名的,則時間戳服務保證了此代碼仍然可信,終于用戶仍然能夠放心下載,使得即使代碼簽名證書已經過期,您也無需重簽和又一次公布已經簽名的代碼。 | ||
| ????(10) 點擊“下一步”后,例如以下圖 10 所看到的,會提示已經完畢數字簽名向導,點擊“完畢”后還會提示您輸入私鑰password,就完畢代碼簽名證書的代碼簽名。 | ||
| ???? (11) 如今,須要使用 chktrust.exe 來查驗已經簽名的代碼, chktrust.exe 文件已經打包在 signtool.rar 中。進入 DOS 命令提示符,并進入已經簽名的文件所在文件夾 ( 如: d:/sign/TestCA.cab) ,鍵入命令: chktrust testcs.cab ,則會顯示實際應用時在 IE 瀏覽器下載頁面的情況,例如以下圖 11 所看到的,對于Win XP操作系統,會顯示軟件名稱和發行者名稱,當中軟件名稱就是您在第(8)步輸入的描寫敘述,點擊此名稱就鏈接到您在第(8)步填寫的網址,而點擊發行者名稱,則會顯示您的簽名信息和時間戳信息。對于Win2000操作系統,則稍有不同,第 1 行的紅線部分就是時間戳記錄的簽名時的本地時間,請注意:此時間不是取簽名電腦的時間,而是提供時間戳服務的server計算出來的簽名電腦設置的所在時區的本地時間。第 1 行藍色文字就是在第 8 步中輸入的描寫敘述文字,點擊此藍色文字就能夠訪問在第 8 步中輸入的 Web 描寫敘述頁面。第 2 行藍色文字則為該代碼的發行者,也就是代碼簽名證書的申請者(擁有者)( 如:深圳市沃通電子商務服務有限公司) ,點擊能夠查看證書的具體信息;第 2 行有紅色下劃線部分顯示“發行商可靠性由 WoSign Code Signing Authority 驗證 ”就是此代碼簽名證書的證書頒發者。 | ||
| ????(12) 點擊“是”或“執行”,則會提示“ TestSign.cab: Succeeded ”表示代碼 TestSign.cab 簽名驗證有效,能夠放到站點上了。請注意:簽名后的CAB文件放到站點上須要使用 object 方式。 請注意:不能僅簽名CAB文件,CAB包中全部DLL文件都要先簽名后再打包,再簽名CAB文件,否則IE瀏覽器會顯示為“未驗證的發行者”而影響正常使用,甚至殺毒軟件會覺得是毒而被刪除!例如以下圖所看到的的實際案例: |
總結
以上是生活随笔為你收集整理的微软代码签名证书使用指南的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 200多个js技巧代码(4)
- 下一篇: T4文本模板转换过程