EV增强型代码签名证书除了验证企业名称之外还需要对企业营业地址、经营类型进行验证,支持Windows10内核模式软件签名,注意:微软自2015年10月31日起Windows10内核驱动签名都要提交EV代码签名凭证。使用EV增强型代码签名证书给软件签名具体如下:
一、准备工具
为了安全起见请尽可能使用微软官方签名工具signtool
Microsoft Windows SDK for Windows 7 and .NET Framework 4 (含有signtool.exe签名工具)
SafeNet U盾工具箱(SafeNetAuthenticationClient-x32-10.3.msi SafeNetAuthenticationClient-x64-10.3.msi)
SignTool支持的参数:
sign: 配置工具来签署文件
/v: 指定成功执行和错误信息的详细选项
/s: 指定证书仓库(如果证书安装在个人仓库中,那么SPC证书仓库使用 MY)
/t: 指定给数字签名添加时间戳的时间戳机构所使用的链接
/f: 指定签名证书文件。只支持个人信息交换(PFX)文件格式
/pa: 指定使用默认验证审查策略
时间戳:
DigiCert - Symantec:
SHA1:http://timestamp.verisign.com/scripts/timstamp.dll
SHA256 RFC 3161: http://sha256timestamp.ws.symantec.com/sha256/timestamp
GeoTrust, Thawte等子品牌与Symantec时间戳共用
Comodo:
SHA1:http://timestamp.comodoca.com/authenticode
SHA256:http://timestamp.comodoca.com
TrustCenter
SHA256:http://www.trustcenter.de/codesigning/timestamp
二、软件签名
1. 将Safenet U盾插入签名软件电脑中
2. 运行CMD输入Signtool安装路径:
C:Program FilesMicrosoft SDKsWindowsv7.1Bin
注意:示例为默认安装SDK的路径
3. SHA1签名附带时间戳:
signtool.exe sign /s my /t http://timestamp.verisign.com/scripts/timstamp.dll /v "C:filename.dll"
注意:如果个人证书仓库中安装了多张证书,请使用 /sha1 参数来指定扩展签名证书的哈希值。例如:
signtool.exe sign /s my /sha1 cert_thumbprint_value /t http://timestamp.verisign.com/scripts/timstamp.dll /v "C:filename.dll"
4. SHA256 附带RFC 3161 时间戳签名:
signtool.exe sign /s my /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /v "C:filename.dll"
注意:如果个人证书仓库中安装了多张证书,请使用 /sha1 参数来指定扩展签名证书的哈希值。例如:
signtool.exe sign /s my /sha1 cert_thumbprint_value /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /v "C:filename.dll"
EV代码签名的证书及密钥存储在Token中,故上述命令均不需要指定证书。
运行以上命令之后,SafeNet会弹出Token的密码框,输入密码后点击OK
请点击输入图片描述
注意: 如果您需要批量签名,您需要启用 SafeNet单次登陆,当您启用单次登陆并登陆到Token后,就会免密批量签名了
三、测试签名
在发布签名软件之前,使用signtool.exe命令来测试数字签名,执行下述命令:
C:Program FilesMicrosoft SDKsWindowsv7.1Bin
signtool.exe verify /pa /v "C:filename.dll"
首先我们要你已经部署好环境:
1.必须已完成SafeNet安装设置。
2.必须使用Windows系统的计算机。
3.必须已安装Windows开发工具包(开发工具包包含signtools.exe).
然后就是代码签名过程中涉及的步骤:
1. 将令牌(智能卡——装有用于存储您的私钥的芯片卡)插入计算机。
2. 打开SafeNet客户端。
3. 打开计算机的命令提示符。
4. 输入以下命令:
signtool sign /tr http://timestamp.comodoca.com /td sha256 /fd sha256 /a "Insert_path_to_the_file_you_wish_to_sign "
5. 输入命令后,SafeNet会要求您输入密码,然后输入密码。
6. 输入密码后,您的应用程序就签名了。
如何才能获取代码签名证书?
代码签名证书是一种数字签名技术,允许软件开发者对其可执行脚本、代码和内容进行签名,以通过Internet验证开发者的身份。所以要想实现代码签名必须首先获得数字证书才能使用这些功能。
并且代码签名证书针对不同的平台,其代码证书品种也不尽相同,因此使用者最好事先咨询正规的代码签名证书的颁发机构,可以针对不同平台的代码签名应用,提供不同的代码签名证书产品及应用解决方案。
为什么要选择沃通代码签名证书?
微软官方推荐品牌
沃通提供的代码签名证书获微软官方推荐的证书品牌,列入微软硬件开发人员中心推荐列表。
支持Win10驱动签名
沃通提供的代码签名证书由全球信任顶级根签发,顶级根证书获微软内核驱动专用的交叉签名,可用于签名各个操作系统的内核代码和Windows 10驱动程序。
沃通针对客户的不同需求,为客户提供多种代码签名证书
Sectigo EV代码签名证书具有常规代码签名证书的所有优点,并且严格审核软件发布者身份,私钥将物理存储在外部硬件上。这消除了软件在下载或者安装的时候的不安全提醒,有效提高企业形象,增加客户信任度。