Подпись EXE-файла Windows

Вы можете попробовать использовать Инструмент Microsoft Sign

Вы загружаете его как часть Windows SDK для Windows Server 2008 и .NET 3.5. После загрузки вы можете использовать его из командной строки следующим образом:

signtool sign /a MyFile.exe

Это подписывает единственный исполняемый файл, используя «лучший из имеющихся сертификатов». (Если у вас нет сертификата, появится сообщение об ошибке SignTool.)

Или вы можете попробовать:

signtool signwizard

Это запустит мастер, который проведет вас через подписание вашего приложения. (Этот параметр недоступен после Windows SDK 7.0.)

Если вы хотите получить сертификат, который можно использовать для тестирования процесса подписания исполняемого файла, вы можете использовать инструмент .NET Makecert.

Инструмент создания сертификата (Makecert.exe)

После того как вы создали свой собственный сертификат и использовали его для подписи исполняемого файла, вам необходимо вручную добавить его в качестве доверенного корневого центра сертификации для вашего компьютера, чтобы ОАК сообщал пользователю, запускающему его, что он из надежного источника. Важный. Установка сертификата как ROOT CA поставит под угрозу конфиденциальность ваших пользователей. Посмотрите, что случилось с DELL. Вы можете найти дополнительную информацию для выполнения этого как в коде, так и через Windows в:

• Вопрос о переполнении стека Установите сертификаты в хранилище сертификатов локального пользователя Windows на C#

• Установка самозаверяющего сертификата в качестве доверенного корневого центра сертификации в Windows Vista

Надеюсь, это предоставит дополнительную информацию для всех, кто пытается это сделать!

В журнале ASPects ASPects есть подробное описание того, как подписывать код (вы должны быть участником, чтобы прочитать статью). Скачать можно через http://www.asp-shareware.org/

Вот ссылка на описание как можно сделайте свой собственный тестовый сертификат.

Этот тоже может быть интересным.

Вы можете получить дешевый сертификат подписи кода бесплатноиз Certum, если вы занимаетесь разработкой с открытым исходным кодом.

Я использую их сертификат более года, и он действительно избавляет от сообщения неизвестного издателя из Windows.

Что касается кода подписи, я использую signtool.exe из такого скрипта:

signtool.exe sign /t http://timestamp.verisign.com/scripts/timstamp.dll /f "MyCert.pfx" /p MyPassword /d SignedFile.exe SignedFile.exe

Другой вариант, если вам нужно подписать исполняемый файл в системе Linux, - использовать код знака из Инструменты монопроекта. Это поддерживается в Ubuntu.

И еще один вариант: если вы разрабатываете в Windows 10, но у вас не установлен signtool.exe от Microsoft, вы можете использовать Bash в Ubuntu в Windows для подписи своего приложения. Вот сбег:

https://blog.synapp.nz/2017/06/16/code-signing-a-windows-application-on-linux-on-windows/

Ссылка https://steward-fu.github.io/website/driver/wdm/self_sign.htm Примечание: signtool.exe из Microsoft SDK

1. в первый раз (чтобы сделать частный сертификат)

Makecert -r -pe -ss ваше имя YourName.cer

certmgr.exe -add YourName.cer -s -r localMachine root

2. После (чтобы добавить свой знак в приложение)

signtool sign / s YourName YourApp.exe

Используйте следующую ссылку для подписи файла .exe (setup / installer) (подпишите exe / установочный файл без использования Microsoft setup signtool)

https://ebourg.github.io/jsign/#files

пример команды java -jar jsign-2.0.jar --keystore keystore.jks "--alias alias --storepass password MyInstaller.exe

Сработало у меня :)

У меня был такой же сценарий на работе, и вот наши выводы

Первое, что вам нужно сделать, это получить сертификат и установить его на свой компьютер. Вы можете либо купить его у Центр сертификации, либо сгенерировать его с помощью Makecert.

Вот плюсы и минусы двух вариантов

Купить сертификат

• Плюсы
  • Использование сертификата, выданного ЦС (центром сертификации), убедитесь, что Windows не будет предупреждать конечного пользователя о приложении от "неизвестного издателя" на любом Компьютере, использующем сертификат из центра сертификации (ОС обычно поставляется с корневыми сертификатами от manny CA)
• Минусы:

  • Получение сертификата из центра сертификации связано с расходами.

    Цены см. В https://cheapsslsecurity.com/sslproducts/codesigningcertificate.html и https://www.digicert.com/code-signing/.

Создайте сертификат с помощью Makecert

• Плюсы:
  • Шаги просты, и вы можете поделиться сертификатом с конечными пользователями.
• Минусы:
  • Конечным пользователям придется вручную установить сертификат на свои машины, и в зависимости от ваших клиентов это может быть не вариант.
  • Сертификаты, созданные с помощью makecert, обычно используются для разработки и тестирования, а не для производства.

Подпишите исполняемый файл

Есть два способа подписать нужный файл:

• Использование сертификата, установленного на компьютере

  signtool.exe sign /a /s MY /sha1 sha1_thumbprint_value /t http://timestamp.verisign.com/scripts/timstamp.dll /v "C:\filename.dll"

  • В этом примере мы используем сертификат, хранящийся в папке Personal, с отпечатком SHA1 (этот отпечаток берется из сертификата), чтобы подписать файл, расположенный в C:\filename.dll.

• Использование файла сертификата

  signtool sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /f "c:\path\to\mycert.pfx" /p pfxpassword "c:\path\to\file.exe"

  • В этом примере мы используем сертификат c:\path\to\mycert.pfx с паролем pfxpassword для подписи файла c:\path\to\file.exe.

Проверьте свою подпись

• Метод 1: использование signtool

  Перейти к: Пуск> Выполнить
  Введите CMD> щелкните В ПОРЯДКЕ
  В командной строке введите каталог, в котором существует signtool. Выполните следующее:

  signtool.exe verify /pa /v "C:\filename.dll"

• Метод 2: Использование Windows

  Щелкните правой кнопкой мыши подписанный файл
  Выберите Характеристики
  Выберите вкладку Цифровые подписи. Подпись будет отображаться в разделе Список подписей.

Я надеюсь, это может тебе помочь

Источники:

• https://docs.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/platform-apis/ms537361(v=vs.85)

• https://www.digicert.com/kb/code-signing/signcode-signtool-command-line.htm

• https://docs.microsoft.com/en-us/windows/win32/seccrypto/makecert

Это не прямой ответ на вопрос, но он тесно связан (и, надеюсь, полезен), так как рано или поздно программист засунет руку в кошелек:

Итак, цены на сигнатуру EV (OV особо не помогает):

1 год 379 евро
en.sklep.certum.pl
(кажется, только для пользователей Польши)

1 год $ 350 + (50 $ скрытая плата)
2 года $ 600
3 года $ 750
(OV: 84 доллара в год)
www.ksoftware.net
eToken отправляется как USB-накопитель. Читатель не нужен. Фактически вы покупаете у Comodo (Sectigo). Они очень медленные.

1 год 364 евро + 19% НДС 444 руб. (OV 69 + НДС)
www.leaderssl.de

1 год $ 499 долларов США
3 года $ 897 долларов США
sectigo.com

1 год Всего $ 410
2 года, всего 760 $
3 года Всего 950 $
www.globalsign.com

1 год: 600 долларов (было 104 доллара)
3 года:?
www.digicert.com

1 год: $ 700
3 года: смешно дорого [symantec.com]

Подробнее цены здесь:
cheapsslsecurity.com CodeSigning EV
cheapsslsecurity.com Только SSL!

Подписание кода EV за 299 долларов на 3 года:

https://sectigo.com/ssl-certificates-tls/code-signing