问题标签 [authenticode]

我创建了一个 wix 包，它在代码设计之前可以正常工作。在谷歌搜索和检查 wix 文档之后，我知道我需要使用 insignia.exe 对 wix 包进行代码签名。请对如何使用此工具有任何想法。感谢期待。

我有一个构建脚本，它使用数字证书（Microsoft Authenticode）对文件进行签名。我想创建一个测试脚本来检查文件是否已成功签名。一个布尔值表示文件上是否存在任何签名就足够了。

我可以在没有任何扩展的情况下使用 PowerShell 做到这一点吗？如果没有，我需要什么？

我有两个代码签名证书（一个 SHA-1，一个 SHA-256），我想将它们应用于同一个文件。我试图附加 SHA-256 证书，但这失败了：

这失败并出现错误：

如果我从第二个命令中删除时间戳 URL，则签名成功完成，但 SHA-2 签名没有时间戳。（无论我是否在第一个签名上加上时间戳都没有效果）

此处的目的是允许某人在支持此功能的操作系统上使用更强的证书验证应用程序，但避免在不支持更强证书的操作系统（Vista、XP）上验证失败。

这种事情甚至可能吗？

我开发了一个免费的个人理财应用程序。这对我来说是一种爱好。我在我的网站上有可以下载的。http://moneyble.com/download/

我经常（大约一个月一次）发布一个新版本。所以文件的哈希值改变了。

当从我的网站下载文件时，浏览器会显示一个警告，指出该文件不常被下载并且可能很危险。在 Windows 8 机器上也会弹出 SmartScreen 警告。

这两个警告都会杀死任何尝试下载我的软件的新用户。

我阅读了一些关于代码签名的文章，并意识到我必须购买代码签名证书。向微软支付我发布自己软件的权利听起来很愚蠢。就像他们拥有互联网一样。但无论如何……他们制定了规则。

问题：

我应该花 500 美元购买 EV 代码签名证书吗？

或者

我可以购买便宜得多（100 美元到 200 美元）的 Microsoft Authenticode 证书，并且仍然可以摆脱两个警告（下载和 SuckScreen）吗？

我的 exe-s 目前在 MS 中没有任何声誉。我经常更新 exe-s。用户群从 0 开始缓慢增长。

有没有人在现实生活中有过类似的经历？

仍然不知道如何签署一个压缩包。我还提供了我的程序的可移植安装。如果您在 Google Chrome 上下载便携式 zip 包 - 它会显示一条令人讨厌的消息“Moneyble.zip 不经常下载并且可能很危险”。该软件包中的 Exe 已签名。但这无济于事。IE没有这个问题。这只是谷歌浏览器的问题。

如果有人对如何分发便携式装置有建议-我将不胜感激。

如果您想查看警告，请从以下网址下载安装程序之一：http: //moneyble.com/download/

我正在尝试使用 OpenSSL（或者实际上使用 Python，但似乎 Python 在证书处理方面很烂）验证 a PE 文件的证书/签名。

我已经从 PE 文件中提取了 DER PKCS7 证书，如下所述：http ://blog.didierstevens.com/2008/01/11/the-case-of-the-missing-digital-signatures-tab/

我创建了一个没有校验和和签名数据的 PE 文件的修改版本，如下所述：http: //www.mail-archive.com/cryptography@c2.net/msg04202.html

修改文件的sha1sum与证书中的sha1sum相同。

我试图用 openssl 验证未签名的、修改过的 PE 文件：openssl smime -verify -in signature.der -content modified_executable.exe -inform DER -binary但我只得到

验证失败 140415508248232:error:21075075:PKCS7routines:PKCS7_verify:certificate verify error:pk7_smime.c:342:Verify error:unsupported certificate purpose

如果我添加-noverify到命令中，我会得到

验证失败 140595583981224:error:21071065:PKCS7routines:PKCS7_signatureVerify:digest failure:pk7_doit.c:1097:140595583981224:error:21075069:PKCS7routines:PKCS7_verify:signature failure:pk7_smime.c:410:

我错过了什么？

如何生成用于 Authenticode 签名的原始公钥/私钥？我在教程中看到这样的命令：

但他们并没有说如何首先获得私钥。

我的服务正在调用SetupCopyOEMInf以安装 Authenticode但不是 WHQL签名的 INF 文件。SetupCopyOEMInf正在返回CERT_E_WRONG_USAGE(0x800B0110) 并且未安装 INF 文件。

我有一个由我公司的 CA 颁发的 X.509 v3。我在 Viusal Studio 中使用 ClickOnce 部署，我想使用代码签名。当我单击“从商店选择”时，证书未显示在列表中。这就是为什么我认为它不能用作身份验证证书。

我的问题是：每个 X.509 v3 证书都可以用作代码签名的验证码证书（例如在 Visual Studio 中）吗？如果不是：我如何确定证书是否是有效的验证码证书？

感谢您阅读我的问题。

问候菲利普

我们现在已经购买了两个应该与 Authenticode 一起下载的代码签名证书。我们使用 Comodo 作为我们的来源，我确信我们拥有正确类型的证书。

我们设置了 Installshield 来签署安装包，并按照我所知道的所有指示进行操作。一年多之后，我们仍然被视为我们的代码是未知的，我们的用户必须覆盖安全异议并安装。

我们必须做些什么才能最终让这件事发挥作用？我已经在网上搜索过，我们正在尽我所能找到，但好像我们的代码没有签名。

我们如何获得声誉？需要下载多少？我们的应用程序每年大约被下载数百次但不是数千次，这有关系吗？

请告知，我们和我们的用户一样非常沮丧。

我正在尝试编写从 DLL 或 EXE 读取签名（证书）的代码。大多数 DLL 或 EXE 只有一个签名，我的代码可以正确读取与此签名关联的所有证书。更具体地说，它读取签名证书，它是颁发者（不是 root），会签证书（带有时间戳）及其颁发者（不是 root）。我有 2 个 C++ 和 C# 示例程序，它们都返回相同的证书。这是 C# 代码，C++ 长 100 倍 :)

但是有些 DLL 有 2 个签名，如文件属性/数字签名中所示，例如 C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\msvcr71.dll：

对于这个 DLL，我的代码只读取与第一个签名相关的证书。

我也尝试使用signtool，它返回与我的代码相同的信息：第一个证书（带有它的路径）和会签（带有它的路径）。但也要注意最后的错误。

我有 2 个问题： - 第二个签名的目的是什么 - 如何阅读它（到目前为止只有 Windows 资源管理器文件属性对话框可以显示它）。

谢谢！