14

当我尝试使用 Firefox 从 Sectigo/Comodo 下载代码签名证书时,我最终下载了一个名为 的文件CollectCCC,没有文件扩展名。我不清楚如何使用它来签署二进制文件。当我尝试使用它来签署二进制文件(/debug打开)时,我得到以下信息:

> .\installation\signtool.exe sign /debug /f 'C:\Users\username\Downloads\CollectCCC' .\DraughtHub_Link.exe

The following certificates were considered:
    Issued to: GoDragons
    Issued by: Sectigo RSA Code Signing CA
    Expires:   Fri Oct 22 00:59:59 2021
    SHA1 hash: <hash>

    Issued to: Sectigo RSA Code Signing CA
    Issued by: USERTrust RSA Certification Authority
    Expires:   Wed Jan 01 00:59:59 2031
    SHA1 hash: <hash>

    Issued to: USERTrust RSA Certification Authority
    Issued by: AAA Certificate Services
    Expires:   Mon Jan 01 00:59:59 2029
    SHA1 hash: <hash>

    Issued to: AAA Certificate Services
    Issued by: AAA Certificate Services
    Expires:   Mon Jan 01 00:59:59 2029
    SHA1 hash: <hash>

After EKU filter, 4 certs were left.
After expiry filter, 4 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

部分问题是我无法使用 IE 下载他们的证书(他们推荐的方式,叹气),因为我没有使用 IE 创建代码签名证书请求。我使用创建了代码签名证书请求openssl

这是我从 IE 收到的错误消息: IE 错误信息

我也尝试将其导入CollectCCC到 IE 中,但失败了。

免责声明:我不建议将 Sectigo 和/或 Comodo 用于代码签名证书!我和他们的经历很糟糕!为获得更好的服务付出更多是值得的。

4

2 回答 2

25

经过大量谷歌搜索,我最终确定该CollectCCC文件的类型为.p7s.

您可以使用以下命令将.p7s文件转换为.pfx文件(对二进制文件进行签名所需)openssl(这是一个两步过程):

openssl pkcs7 -inform der -in CollectCCC -print_certs -out CollectCCC.pem
openssl pkcs12 -export -out certificate.pfx -inkey ~/.csr/www.draughthub.com.key -in CollectCCC.pem

您将在其中替换~/.csr/www.draughthub.com.key为您创建的私钥的位置以提出代码签名证书请求。第二步将提示您输入密码。这是您用于创建请求的密码(以及相应的私钥)。

于 2020-10-23T11:32:58.120 回答
2

我最近经历了这个过程,我也遇到了这个过程的麻烦。从 Sectigo 购买代码签名证书后,我必须:

步骤 1.创建证书请求文件 (.csr) 和证书密钥文件 (.key)。在此之后,您将拥有 2 个文件,一个具有.key扩展名,一个具有.csr扩展名。

openssl.exe req -nodes -newkey rsa:3072 -nodes -keyout DESIREDNAME.key -out DESRIREDNAME.csr -subj "/C=COUNTRY_CODE/ST=STATE_NAME/L=CITY_NAME/O=ORGANIZATION_NAME /CN=YOUR_DOMAIN_NAME.com"

步骤 2.使用 Sectigo 网站上的.csr文件生成您的证书。

步骤 3.从 Sectigo 收到的电子邮件中下载您的证书。在这一步之后,你应该有一个扩展名为.crt的新文件,在我的例子中是user.crt

步骤 4..key.crt文件转换为.pfx文件以进行代码签名。

openssl.exe pkcs12 -inkey DESIREDNAME.key -in user.crt -export -out mycertificate.pfx

在此过程中,您将被要求为.pfx文件设置密码。

步骤 5.使用 SHA1 和 SHA256 对文件进行双重签名。

signtool.exe 签名 /tr http://timestamp.digicert.com /td sha1 /fd sha1 /f mycertificate.pfx /p MY_CERT_PASSWORD myapp.exe

signtool.exe 签名 /tr http://timestamp.digicert.com /as /td sha256 /fd sha256 /f mycertificate.pfx /p MY_CERT_PASSWORD myapp.exe

请注意,第二个调用包含/as参数以附加签名。请记住,始终首先使用 SHA1 签名,然后附加 SHA256。

步骤 6.右键单击​​您的文件并选择属性。检查数字签名选项卡。您的文件现在应该经过数字签名。恭喜!

一些旁注:

第 1 步,我使用了在C:\Program Files\Git\usr\bin\openssl.exe中找到的一个openssl.exe ,但这个在第 4 步失败,出现“找不到证书”错误。我必须从https://slproweb.com/products/Win32OpenSSL.html安装Win64 OpenSSL Light,然后第 4 步按预期工作,最终生成了我的.pfx文件。

我的机器上没有可用的signtool.exe ,因此我从Visual Studio Installer中选择修改安装,并从Individual Components中添加了Windows 10 SDK项目之一。然后我在C:\Program Files (x86)\Windows Kits\10\bin\10xxxx\x64\signtool.exe中有这个文件。

迫不及待地想看到那些 AV 误报消失了,因为我的应用程序已经过数字签名 :)

于 2021-10-18T17:55:25.957 回答