问题标签 [digicert]

我在构建安装程序时遇到了反签名错误

创建媒体文件“多文件窗口”：收集文件：编译启动器：创建媒体文件：签署可执行文件 install4j：编译失败。原因：会签时出错

我想知道是否有办法公开有关会签失败原因的更多信息。

我尝试了两种不同的 DigiCert 时间戳服务；威瑞信和 Globalsign。两者都返回了相同的错误，所以我认为这对他们来说不是问题。但我没有足够的信息来弄清楚可能出了什么问题。

这是在 Install4j 版本 5.1.15 上

这听起来像是一个愚蠢的问题，但这是我第一次研究这个话题。是否可以创建证书链。

所以目前我们有这样的结构：

这是我们想要的结构：

我做了一些研究，但我无法确定这种链接结构是否可行。

我们希望有一个根 CA，然后是一个部门的中间人，然后是部门内项目的其他中间人。如果完成，它将有助于划分任何损坏。

已从 DigiCerts（CA 文件和 pem 文件）生成有效证书。PEM 文件是私钥和服务器证书的组合。但不知何故，mongo shell 无法使用这些证书。

这是设置： 环境：

我们有什么

Mongo 服务器：Ubuntu 16.04，mongo 版本：4.0.10

也配置了/etc/mongod.conf文件。正确提到了 Pem 文件和 CA 文件的路径。CN 名称与主机名匹配并且完全相同。

什么问题

但是现在当我运行以下 mongo 命令时，它失败了

MongoDB shell 版本 v4.0.13 连接到：mongodb://m1.com:27017/%E2%80%93-sslPEMKeyFile?gssapiServiceName=mongodb 2019-12-05T06:50:31.195-0500 I NETWORK [js] DBClientConnection 失败从 m1.com:27017 接收消息 - SocketException: short read 2019-12-05T06:50:31.195-0500 E QUERY [js] 错误：尝试在主机“m1.com:27017”上运行命令“isMaster”时出现网络错误：connect@src/mongo/shell/mongo.js:344:17 @(connect):2:6 异常：连接失败 root@m1:/home/administrator#

我猜当前服务器是主服务器/主服务器。

请建议

我们有一个来自 digicert 的 pfx 签名密钥，我们将其用作延迟签名，但是当我们将其安装在计算机上时，它不会运行，除非我们为该延迟签名密钥添加排除项 (sn.exe -Vr *,)。这应该是可能的，对吧？还是我错过了什么？我创建了一个延迟签名密钥：

然后我们在 C# .net 程序集中使用 DelayedSigning.snk 作为延迟签名：

然后在编译和混淆之后，我们使用signtool用全密钥签名：

然后就像我说的，如果我们尝试在干净的 Windows 10 操作系统上运行，除非我们添加延迟签名排除 (sn.exe -Vr *,)，否则它将无法工作。有任何想法吗？

注意：当我在其中一个程序集上运行 sn -V 时，它显示“XXXXX.dll 是延迟签名或测试签名程序集” - 怎么会？

我已经为此工作了好几天。我有一个正在尝试构建的 DevOps 项目。我的构建过程的一部分尝试安装 SSL 证书 (DigiCert.pfx)。这适用于旧证书，但我们最近更新了它，现在它不起作用。所以我知道这个过程是正确的。肯定有其他问题。

正在使用的脚本是

执行时我得到

我已经使用新的 SSL 证书更新了 Visual Studio 中的项目文件，并将项目文件和新的 DigiCert.pfx 文件推送到 DevOps。我读过很多文章，但没有一个真正有帮助。任何帮助，将不胜感激。

我有一个用于签署代码的 DigiCert EV 代码签名令牌。当我signtool从用户 shell 运行时，一切正常。但是，当我signtool从系统服务运行时，它会失败。

我尝试的最后一件事是“模拟”用户外壳，方法是：

但这失败了，因为它没有找到私钥......

有什么想法可以在这里进行吗？

似乎“远程用户”没有访问私钥的权限。

我正在使用我的新网站。我从 Digicert SSL provider 获得了 SSL 证书文件。我按照指示安装了 SSL。但是我的 WordPress 页面仍然出现不安全页面错误，而其他 html 和非 WordPress PHP 页面可以正常工作。我不确定我做错了什么。我的网站是

https://www.devbhusal.com/ 显示不安全页面错误。

https://www.devbhusal.com/readme.html工作正常。

https://www.devbhusal.com/test.php工作正常。

我处于一个非常棘手的情况，我会尽力解释它。我将以简洁的编号步骤写出我的问题，最后，我会将其归结为一个或几个明确的问题。

1. 我用python写了一个程序。（未使用其他语言）

2. 然后我使用 pyinstaller 将其转换为 .exe，这样我就可以与我的朋友分享它，而无需他们安装 python 或任何其他外部库。

3. 当我的朋友们试图下载这个 exe 文件时，他们的 Windows Defender 和其他防病毒软件出现了，并且它不允许他们运行该程序。

4. 我做了一些研究，得知我的 exe 没有添加发布者，因此，Windows Defender 阻止了用户打开文件。

5. 要添加发布者，我了解到我需要对其进行数字签名并制作证书，因此我安装了一个名为 DigiCert 的程序，它可以将证书添加到 exe。

这就是问题所在，我不知道如何免费为我的程序制作代码签名证书。

所以为了浓缩所有这些，我的问题/问题是：

A）问题实际上是关于我的 exe 没有发布者的事实吗？

B）如果是这样，我如何创建一个代码签名证书来添加一个？

我希望你能理解这个问题，如果你有任何意见或回应，我将不胜感激。

非常感谢

我从 DigiCert 获得了 .key 和 .crt 文件。

我的 xyz_com.key 文件的内容是 PRIVATE KEY。

在此之前，我使用的是自签名证书，使用以下命令生成。

我的 ca_cert.key 文件的内容是 PRIVATE KEY。

所以自签名密钥文件的内容是 ENCRYPTED PRIVATE KEY，而 DigiCerts 密钥文件的内容是 PRIVATE KEY。我的应用程序在使用 ca_cert.key 时工作正常，但与 xyz_com.key 不一样

有没有办法将 PRIVATE KEY 转换为 ENCRYPTED PRIVATE KEY ？

我们的组织最近获得了一个EV code signing certificate. 它确实给了我们即时SmartScreen的信任，但仍有两件事发生：

1. 一个小烦恼是Chrome，它向最初的几个下载者发出了警告file.exe is not commonly downloaded and may be dangerous，但它在一天之内就消失了，我们没有做任何事情。

2. 一个更大的问题是Windows Defender。这是它的作用：

当我们的用户安装程序时，它会标记并锁定所需的关键组件。大多数用户都会遇到这种情况。

我们在上传之前在本地扫描了程序组件，没有发现任何问题。我们Virus & threat protection是最新的。当我们从网站下载相同的文件并像普通用户一样安装它时，我们也不会触发防病毒保护。为什么它的行为如此不一致，以至于当我们在内部 PC 上从 Internet 下载文件时它不会标记文件，但大多数外部用户都会发生这种情况？

到目前为止，我们一直在收集用户的这些通用威胁名称和文件名，并将其提交给 Microsoft 进行分析： https ://www.microsoft.com/en-us/wdsi/filesubmission这些文件在一天之内，但不好的是它们似乎只针对检测到的威胁名称更新其防病毒定义，而不是将整个文件标记为无害。这个问题变得更加令人沮丧，因为我们经常更新我们的安装程序，因为程序正在积极开发中。

我还担心这些带有 MS 威胁定义的更新没有足够快地正确地传播给世界各地的 Windows 用户。如果用户不更新他们的定义或将其关闭，会发生什么？

有什么我们还没有做，但可以做些什么来减少这些误报的问题？

EV 代码签名证书由 DigiCert 颁发，非常昂贵。在 MS 多次扫描签名文件并提高我们证书的信任分数后，这些问题会消失吗？我的意思是，它会减少尚未提交分析的未来构建的误报吗？