问题标签 [digital-certificate]

使用 VeriSign 对 exe 进行签名后，如果我们右键单击 exe，我们可以看到“数字签名”选项卡，其中提供了有关证书的信息。这些信息将存储在哪里？我的意思是操作系统将如何知道哪个证书与哪个文件相关？签名时是否在exe中嵌入了任何内容？如何编写 c# 代码从签名的 exe 中提取证书？

任何帮助是极大的赞赏。

更新：我解决了问题，尽管我无法找到与程序集存储的证书关系的准确程度。我们可以通过传递汇编路径来创建 X509Certificate 对象。我的任务是获取序列号和所有者。以下是我为此编写的代码。

谢谢。秋惠

是否可以使用 python 读取扩展名为 Pcks#7 ( http://en.wikipedia.org/wiki/X.509#Certificate_filename_extensions ) 的个人数字证书？我必须使用 Django 开发一个应用程序，通过读取用户的证书来对其用户进行身份验证。

在最初的步骤中，我们将使用外部服务来完成此任务，但最好了解如何开发个人解决方案。

非常感谢有关该主题的任何信息，谢谢！

费德里科

我们有一个代码签名证书，从 GlobalSign 购买用于 Authenticode 签名（他们称之为）。现在我们需要签署 Java 小程序和很快的 Adob​​e AIR 模块（小程序？）。问题是：从技术角度来看，如果它们是由同一个 CA（例如 Comodo 或 GlobalSign）颁发的，那么 Authenticode 证书和 Java 证书或 AIR 证书之间有什么区别吗？如果它们是可更换的，我认为购买不同的证书没有意义。

我了解证书的密钥使用字段必须相同（代码签名），但这些证书中的扩展代码使用或策略或其他扩展可能不同。如果拥有由一个 CA 颁发的两种或多种类型的代码签名证书的人可以帮我检查一下，我将不胜感激。

设想

我想设计一个从第三方供应商加载插件程序集的服务器。第三方供应商在实现插件程序集时需要遵循一些合同。第三方插件程序集需要复制到服务器指定的部署文件夹中。服务器将动态加载插件程序集。服务器只需要加载那些来自受信任源的程序集。

可能的解决方案

作为解决方案之一，服务器可以依赖数字证书技术。服务器应仅加载那些使用受信任的根证书颁发机构进行数字签名的程序集。我计划从下图中导出测试用例：

叶节点（以紫色突出显示）表示可能的测试用例。

我需要获得以下方面的想法/反馈：

• 上述基于数字证书的机制对于上述场景是否足够好？
• 除了数字证书技术，还有哪些替代方案？
• 是否缺少任何未考虑的测试用例（基于上图）？

谢谢。

对于嵌入式签名，我可以使用 X509Certificate.CreateFromSignedFile 来提取证书。对于目录签名，在 C/C++ 中，我可以使用 CryptCATAdminEnumCatalogFromHash 来做同样的事情。为系统存储中的文件提取证书的.Net 方法是什么？

数字证书是证明某个公钥由特定用户拥有的数字文档。因此，如果您信任签署证书的 CA C，那么您可以信任特定的公钥/私钥对由证书的所有者拥有C。

a) 假设客户端想要与位于 url www.some_domain.comA的服务器建立连接。B在与 建立连接时B，A可能会从另一端收到一个 X.509 证书C和一个属于证书所有者的公钥C。

但是客户端如何知道它的所有者C实际上是一个服务器B，而不是劫持（如果这是正确的术语）连接并将其自己的证书和公钥发送到的其他实体A？

我能想到的唯一方法是让客户知道所有者C是否真的B是，如果C's Subject字段还指定了该证书对其有效的域，或者它是否指定了该证书所属的组织（但这只有在客户知道哪个组织 www.some_domain.com 属于）？！

谢谢你

我想创建一个可以访问带有数字证书的智能卡的 Web 应用程序，然后在服务器上对开放式 Office XML 文档进行数字签名。我知道几个在 Java 中执行此操作的开源框架，但客户端要求我在 .NET C# 中执行此操作：

SignServer 点组织

比利时 eID 小程序

任何人都有一些指导方针或建议如何实现这个.NET C#？

System.IO.Packaging 中的 PackageDigitalSignatureManager 有什么用吗？

运行经过数字签名的可执行文件时，我得到了一个非常奇怪的结果。

可执行文件是使用 signtool.exe 使用适当的 2 级代码签名证书（不是自行生成的）进行签名的。

在 Windows 7 机器上进行测试，如果我启动已签名的可执行文件，我会收到 Windows 警告对话框，显示 Publisher Unknown（即未签名）。

但是，如果我随后取消并右键单击可执行文件并转到“属性”->“数字签名”，“签名”列表会显示已签名的证书，然后我可以单击并选择“详细信息”以查看签名的详细信息，其中显示为“数字签名正常”。

那时，如果我启动可执行文件，现在 Windows 会突然正确识别出可执行文件已签名并报告正确的“已验证发布者”。

似乎在我从可执行文件的属性对话框中查看实际证书详细信息之前，Windows 可能没有在线检查证书（请注意，这不仅仅是启动可执行文件后的延迟，我等待多长时间都没关系或者我启动它多少次，它会将其视为未签名，直到我进入文件的属性/数字签名）。

这是我用于测试的通用 Windows 7 安装 - 它没有以任何方式进行修改或调整。

这种行为似乎违背了在 Windows 上进行代码签名的主要目的——除非用户知道进入右键单击属性并四处寻找证书，否则可执行文件怎么可能被视为未签名。

有什么我想念的吗？将可执行文件标记为 Windows 应在执行时主动检查证书的某种方式？

我正在开发一个 AIR 应用程序。我通过使用从 TC 信任中心购买的数字证书对其进行签名，将发布版本导出为本机安装程序。以下流程发生在创建的 setup.exe 中。

• 此 setup.exe 现在已上传到主机，以使用户能够下载设置文件。
• 用户使用浏览器下载此文件并双击下载的 setup.exe。
• Windows 会弹出一个安全警告，并指出发布者未知。
• 单击继续后，AIR 安装程序会显示正确的发布者名称
• 安装程序后，控制面板也会显示正确的发布者名称。

我想知道为什么 Windows 安全警告无法检测到发布者名称？以及如何解决这个问题。请帮忙。提前致谢 ：）

我们公司正在从使用 SHA-1 证书切换到 SHA-2 证书。

我注意到 CAPICOM 只有一个 CAPICOM_CERTIFICATE_FIND_SHA1_HASH 查找方法。

从 SHA-1 切换到 SHA-2 是否意味着我们需要切换到 CAPICOM 的替代方案来使用这些证书进行验证/加密/解密？