4

我们正在使用 signtool.exe 摘要选项优化数字签名过程。到目前为止,工作流程如下所示:

  1. 在客户端上创建摘要:signtool.exe sign /f cert /fd sha256 /dg 。我的文件.dll
  2. MyFile.dll.dig摘要发送到我们的签名服务器。
  3. 签名服务器上的签名摘要:signtool.exe sign /f cert /fd sha256 /ds MyFile.dll.dig
  4. 将签名MyFile.dll.dig.signed发送回客户端。
  5. 在客户端创建签名:signtool.exe sign /di .MyFile.dll
  6. 在客户端添加时间戳:signtool.exe timestamp /tr http://some_timestamp_server /td sha256 MyFile.dll

有没有办法在签名服务器上执行时间戳?

4

1 回答 1

0

有没有办法在签名服务器上执行时间戳?

不,除非将整个文件传输到您的签名服务器。时间戳是直接应用于文件本身的操作,因此文件必须存在于本地。您的远程签名服务之所以有效,是因为只需要对摘要进行签名,而不是对完整的二进制文件进行签名。但是,正如您所指出的,您仍然需要使用/disigntool 选项在本地摄取签名的摘要。

可以做的是创建一个自定义工具,以根据您的要求以编程方式对文件进行签名和时间戳。有关如何使用SignerSignEx2支持时间戳的功能,请参阅这篇 Microsoft 文章。
https://docs.microsoft.com/en-us/windows/win32/appxpkg/how-to-programmatically-sign-a-package?redirectedfrom=MSDN

您可能已经看到了这一点,但我也会查看AzureSignTool 存储库,它使用未记录的SignerSignEx3函数使用回调执行签名。您可以通过调用其他一些自定义签名服务来合理地替换 Azure 功能。

于 2019-12-06T13:11:09.747 回答