问题标签 [authenticode]

I am using signtool.exe to sign binaries with the PFX file.

But when I try to execute the command through command line, an error message is displayed.

SignTool Error: File not found: D:\Myfile.Pfx But the file D:\Myfile.Pfx exists at that location.

I tried signing files using the latest version of SignTool.exe, but the problem persists.
I am using Windows XP SP3 32 bit.

Any idea on the reason for this error and how do I rectify it?

我为 Authenticode 制作了自己的 CA，供第三方开发人员用于我正在编写的应用程序。我想确保我可以撤销证书，并且正在测试我的 CA 和链的 CRL 行为。

出于某种原因，即使我可以使用浏览器获取 CRL，Windows 也无法找到它。

签名的 exe 在这里： http ://www.rhino3d.com/developer/authenticode/RmaBrowser.t3.exe

此 EXE 指向的 CRL 位于 http://www.rhino3d.com/developer/authenticode/mcneel.crl（更正错字，当我第一次问这个问题时，这是错误的 mcneel.exe）

但是当我：

1. 右键单击 Windows 中的 EXE
2. 单击属性
3. 数字签名
4. 细节
5. 查看证书
6. 细节

我看到“扩展错误信息：吊销状态：吊销功能无法检查吊销，因为吊销服务器处于脱机状态。”

我们开发了一个 Win32 程序 (=host)，它允许第 3 方编写插件。由于某些插件包含有价值的代码（例如，高质量视频标量），第 3 方希望限制他们的插件只能与我们的主机程序一起使用。

我们的想法是使用 Microsoft Authenticode 技术对主机进行签名。然后，要求第 3 方执行以下算法来检查主机。（预计第 3 方对算法进行足够的代码混淆）。

1. 使用 WinVerifyTrust() API 来验证主机的证书是否有效（= 未撤销、未篡改等）。

2. 验证主体是我公司的证明。

问题是关于步骤（2）。第三方不能简单地检查指纹或序列号，因为主机的数字证书将在证书到期日之后更新。

我的想法是检查部分主题的专有名称，特别是“国家（C）”和“通用名称（CN）”，假设在美国没有公司名称冲突。我们不应该检查其他属性，例如州和城市，因为我们的公司可能会搬家——事实上，一年前我们已经从一个城市搬到了另一个城市。

问题：这是实现目标的好方法吗？

我不想验证证书。我想在构建服务器上使用它来检查所有文件并列出我们可能忘记签名的文件。

最好始终对可执行文件（exe、dll、ocx 等）进行签名。另一方面，对于开源项目，它可能会考虑忽略所有其他开发人员对该项目的贡献。

这对我来说是一个相当道德的困境，我希望听到更多来自处于类似情况的人或为开源项目做出贡献的人的意见。

我想指出，这个问题是针对使用 .NET 4 用 C# 编写的开源项目，因此当用户单击可执行文件时，将提示他或她发出警告，指出该文件来自不受信任的发布者，如果它没有数字签名。

顺便说一句，这些程序集都已经具有强命名（签名），但它们还没有经过数字签名（即使用 Verisign Code 签名证书）。

我需要验证二进制文件的代码签名。Microsoft Authenticode 我认为是这个词。有没有使用 Windows API 做到这一点的合理方法？

我开发了一个在 Windows 上使用的桌面应用程序，并且想知道如何让我的可执行文件签名，这样它们就不会显示那些来自未知发布者的可怕警告消息。我对在发布二进制文件之前对其进行签名有点熟悉。我有一个相同程序的 Linux 端口，虽然它有自己的签名存储库（apt-get），但它是分发的。

签署 Windows 可执行文件的过程似乎非常复杂，我找不到一个简单的教程来说明该做什么，而是成千上万的网页只描述了该过程的一部分，或者说太深入了。

我只需要一份在 Windows 下签署可执行文件所必需的步骤的快速列表。我相信它被称为“验证码”。

我最近在这里发现了一篇关于从 Authenticode 签名的可执行文件中获取各种信息的内容丰富的文章：

从 .NET 中的 Authenticode 签名文件中获取时间戳

我管理了如何检索 TimeStamp 日期属性，但我对原始数据转换知之甚少，我认为必须将该属性从字节数组转换为 DateTime 对象。

谁能给我一个例子如何在 C# 中实现这一点？

谢谢。

我有大量的 EXE 文件，需要找出哪些有数字签名。有谁知道是否有一种方法可以在不访问 WinVerifyTrust 的情况下进行检查（它们都在 Unix 服务器上）。

我似乎找不到任何有关数字签名在 EXE 中实际位置的信息。如果我能找到它在哪里，我可能能够打开文件并 fseek 到一个位置进行测试。我不需要对证书进行“真实”验证，我只想查看是否存在数字签名（或者更重要的是，不存在）而无需使用 WinVerifyTrust。

我正在尝试在安装了 VS2010 的 Windows Server 2008 R2 x64 上使用新的代码签名证书对 .NET 应用程序进行身份验证，但 SignTool 一直响应Access is denied：

证书安装到用户的个人存储中，并且用户是本地管理员组的成员。我还尝试使用 .pfx 文件进行签名，但一直收到相同的错误。禁用 UAC 提示也没有效果。

有任何想法吗？