Каков самый простой современный способ подписать пакетный исполняемый файл? [Дубликат]
Простой CSS-трюк, просто добавьте:
width: 100%;
text-align: center;
Это работает как с изображениями, так и с текстом.
4 ответа
Обновленный ответ
Если вы используете следующие версии Windows или более поздние версии: Windows Server 2012, Windows Server 2012 R2 или Windows 8.1, тогда MakeCert теперь устарел и Microsoft рекомендует использовать Командлет PowerShell New-SelfSignedCertificate .
Если вы используете более старую версию, такую как Windows 7, вам нужно придерживаться MakeCert или другого решения. Некоторые люди предлагают модуль открытой инфраструктуры Infrastructure Powershell (PSPKI) .
Оригинальный ответ
. Хотя вы можете создать self- подписанный сертификат подписи кода (SPC - Software Publisher Certificate ), я предпочитаю делать следующее:
Создание самозаверяющего центра сертификации (CA)
makecert -r -pe -n "CN=My CA" -ss CA -sr CurrentUser ^
-a sha256 -cy authority -sky signature -sv MyCA.pvk MyCA.cer
(^ = разрешить командную строку командной строки)
Это создает самоподписанный (-r) сертификат с закрытым закрытым ключом (-pe). Он называется «Мой CA» и должен быть помещен в хранилище CA для текущего пользователя. Мы используем алгоритм SHA-256 .
Закрытый ключ должен храниться в файле MyCA.pvk, а сертификат в файле MyCA.cer.
Импорт CA certificate
Поскольку вам не нужно иметь сертификат CA, если вы ему не доверяете, вам нужно импортировать его в хранилище сертификатов Windows. Вы можете использовать оснастку MMC сертификатов, но из командной строки:
certutil -user -addstore Root MyCA.cer
Создание сертификата подписи кода (SPC)
makecert -pe -n "CN=My SPC" -a sha256 -cy end ^
-sky signature ^
-ic MyCA.cer -iv MyCA.pvk ^
-sv MySPC.pvk MySPC.cer
Это почти то же самое, что и выше, но мы предоставляем ключ и сертификат эмитента (переключатели -ic и -iv).
Мы также хотим преобразовать сертификат и ключ в PFX file:
pvk2pfx -pvk MySPC.pvk -spc MySPC.cer -pfx MySPC.pfx
Если вы хотите защитить файл PFX, добавьте ключ -po, иначе PVK2PFX создаст файл PFX без кодовой фразы.
Использование сертификата для подписи кода
signtool sign /v /f MySPC.pfx ^
/t http://timestamp.url MyExecutable.exe
( См., почему могут иметь значение временные метки )
Если вы импортируете файл PFX в хранилище сертификатов (вы можете использовать PVKIMPRT или snapin MMC ), вы можете подписать код следующим образом:
signtool sign /v /n "Me" /s SPC ^
/t http://timestamp.url MyExecutable.exe
Некоторые возможные временные URL-адреса для signtool /t:
-
http://timestamp.verisign.com/scripts/timstamp.dll -
http://timestamp.globalsign.com/scripts/timstamp.dll -
http://timestamp.comodoca.com/authenticode
Полная документация Microsoft
Загрузить s
Для тех, кто не является разработчиками .NET, вам понадобится копия Windows SDK и .NET framework. Текущая ссылка доступна здесь: SDK & amp; .NET (который устанавливает makecert в C:\Program Files\Microsoft SDKs\Windows\v7.1). Ваш пробег может отличаться.
MakeCert доступен из командной строки Visual Studio. Visual Studio 2015 имеет его, и его можно запустить из меню «Пуск» в Windows 7 в разделе «Командная строка разработчика для VS 2015» или «VS2015 x64 Native Tools Command Prompt» (возможно, все они в одной папке).
Как указано в ответе, чтобы использовать не устаревший способ подписать собственный скрипт, следует использовать New-SelfSignedCertificate .
- Сгенерировать ключ :
New-SelfSignedCertificate -DnsName email@yourdomain.com -Type CodeSigning -CertStoreLocation cert:\CurrentUser\My - Экспортировать сертификат без закрытого ключа:
Export-Certificate -Cert (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert) -FilePath code_signing.crt - Импортировать его как доверенного издателя
Import-Certificate -FilePath .\code_signing.crt -Cert Cert:\CurrentUser\TrustedPublisher - Импортировать его в качестве корневого сертификата власть.
Import-Certifiate -FilePath .\code_signing.crt -Cert Cert:\CurrentUser\Root - Подпишите сценарий.
Set-AuthenticodeSignature .\script.ps1 -Certificate (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert)
Очевидно, как только вы установили ключ, вы можете просто подписать с ним другие скрипты. Вы можете получить более подробную информацию и помощь по устранению неполадок в этой статье .
-
1
-
2Спасибо. Это решило все мои проблемы, пытаясь заставить этот «казалось бы простой» процесс работать. – Dave 16 August 2018 в 09:48
Это довольно легко с помощью команды New-SelfSignedCertificate в Powershell. Откройте powershell и запустите эти 3 команды.
1) Создать сертификат: $ cert = New-SelfSignedCertificate -DnsName www.yourwebsite.com -Type CodeSigning -CertStoreLocation Cert: \ CurrentUser \ My
2) установить для него пароль: $ CertPassword = ConvertTo-SecureString -String «my_passowrd» -Force -AsPlainText
3) Экспортировать его: Export-PfxCertificate -Cert "cert: \ CurrentUser \ My \ $ ($ cert.Thumbprint) "-FilePath" d: \ testcert.pfx "-Password $ CertPassword
Ваш сертификат testcert.pfx будет размещен @
D:/
-
1JerryGoyal вы знаете, как конвертировать самоподписанный сертификат в доверенный сертификат CA Root? – Mr Heelis 29 November 2017 в 10:59
Начиная с PowerShell 4.0 (Windows 8.1 / Server 2012 R2), можно сделать сертификат в Windows без makecert.exe .
Необходимые команды: New-SelfSignedCertificate и Export-PfxCertificate .
Инструкции приведены в Создание самоподписанных сертификатов с помощью PowerShell .
-
1Если вы хотите использовать это для подписания драйверов, вам необходимо импортировать сертификат CA в хранилище. Мой пример импортирует его в хранилище пользователей, что отлично подходит для большинства программ, для тестирования / внутренних целей. – Roger Lipscombe 5 October 2013 в 09:25
-
2Стоит отметить, что даже если вы установите обновление WMF, чтобы получить PowerShell 4.0 в Windows 7, у вас не будет доступа к этой команде. Кажется, это Win8 или Server 2012 или более поздняя версия. – Daniel Yankowsky 19 April 2016 в 21:48
E=your@email. Например:makecert -pe -n "CN=My SPC,E=email@domain" ........– Rob W 2 February 2013 в 13:41-eku 1.3.6.1.5.5.7.3.3, поэтому сертификат может использоваться для подписи кода (я знаю, что powershell не может подписывать скрипты, если он отсутствует) – Scott Chamberlain 21 February 2013 в 01:02