签署Windows EXE档案

我有一个我要签名的EXE文件，以便Windows不会警告最终用户有关来自“未知发行商”的应用程序。我不是Windows开发人员。所讨论的应用程序是从生成屏幕保护程序应用程序的应用程序生成的屏幕保护程序。因此，我对文件的生成方式没有任何影响。

我已经发现，我需要来自Verisign或Instantssl.com 这样的CA的代码签名证书。我不了解的是我需要做的（如果有可能）对我的EXE文件进行签名。有什么简单的解释？

梅尔·格林（Mel Green）的回答使我走得更远，但是signtool希望我指定在任何情况下都使用哪种证书。我可以某种方式获得免费的代码签名证书以测试它是否对我完全有效吗？

另外，请指定哪种证书类型是正确的。大多数站点仅提及“代码签名”，并谈论对用户实际编译的应用程序进行签名。对我来说不是这样。

您可以尝试使用Microsoft的签名工具

您将其作为Windows Server 2008和.NET 3.5的Windows SDK的一部分下载。下载后，您可以从命令行使用它，如下所示：

signtool登录/ a MyFile.exe

这将使用可用的“最佳证书”对单个可执行文件进行签名。（如果您没有证书，它将显示一个SignTool错误消息。）

或者您可以尝试：

signtool signwizard

这将启动一个向导，该向导将引导您完成对应用程序的签名。（此选项在Windows SDK 7.0之后不可用。）

如果您想获得可用于测试对可执行文件进行签名的过程的证书，则可以使用.NET工具Makecert。

证书创建工具（Makecert.exe）

一旦创建了自己的证书并使用它来对可执行文件进行签名，就需要将其手动添加为计算机的受信任根CA，以使UAC告诉运行该证书的用户来自受信任源。重要的。以根CA身份安装证书将危及用户的隐私。看看戴尔发生了什么。您可以在代码中和通过Windows找到更多有关完成此操作的信息：

• 堆栈溢出问题将证书安装到C＃中的Windows本地用户证书存储中

• 在Windows Vista中将自签名证书安装为受信任的根CA

希望能为尝试这样做的人提供更多信息！

我在工作中遇到了相同的情况，这是我们的发现

您要做的第一件事是获取证书并将其安装在计算机上，您可以从证书颁发机构购买证书，也可以使用makecert生成证书。

这是2个选项的利弊

购买证书

• 优点
  • 使用由CA（证书颁发机构）颁发的证书将确保Windows不会警告任何最终用户有关使用CA证书的任何计算机上“未知发行者”的应用程序的信息（OS通常随附manny CA的根证书） ）
• 缺点：
  • 从CA获得证书涉及成本

使用Makecert生成证书

• 优点：
  • 步骤很容易，您可以与最终用户共享证书
• 缺点：
  • 最终用户将不得不在自己的计算机上手动安装证书，具体取决于您的客户端（可能不是）
  • 使用makecert生成的证书通常用于开发和测试，而不是生产

签名可执行文件

有两种对所需文件进行签名的方法：

• 使用计算机上安装的证书

  signtool.exe标志/ a / s MY / sha1 sha1_thumbprint_value / t http://timestamp.verisign.com/scripts/timstamp.dll / v“ C：\ filename.dll”

  • 在此示例中，我们使用存储在“个人”文件夹中的证书以及SHA1指纹（此指纹来自证书）来对位于“ C：\ filename.dll”的文件进行签名。

• 使用证书文件

  signtool登录/ tr http://timestamp.digicert.com / td sha256 / fd sha256 / f“ c：\ path \ to \ mycert.pfx” / p pfxpassword“ c：\ path \ to \ file.exe”

  • 在此示例中，我们使用证书“ c：\ path \ to \ mycert.pfx”和密码pfxpassword对文件“ c：\ path \ to \ file.exe”进行签名。

测试您的签名

方法1：使用signtool

转到：“开始”>“运行CMD类型”>单击“确定”。在命令提示符下，输入signtool所在的目录，运行以下命令：

signtool.exe验证/ pa / v“ C：\ filename.dll”

方法2：使用Windows

右键单击已签名的文件，然后选择“属性”，然后选择“数字签名”选项卡。签名将显示在“签名列表”部分。

希望对您有帮助

资料来源：

• https://docs.microsoft.com/zh-cn/previous-versions/windows/internet-explorer/ie-developer/platform-apis/ms537361(v=vs.85）

• https://www.digicert.com/code-signing/signcode-signtool-command-line.htm

• https://knowledge.symantec.com/support/code-signing-support/index?page=content&id=SO15544&actp=search&viewlocale=zh_CN

• https://msdn.microsoft.com/zh-CN/library/windows/desktop/aa386968(v=vs.85).aspx

如果您正在进行开源开发，则可以从Certum获得免费的廉价代码签名证书。

我使用他们的证书已有一年多了，它确实摆脱了Windows中未知的发布者消息。

至于签名代码，我使用如下脚本中的signtool.exe：

signtool.exe sign /t http://timestamp.verisign.com/scripts/timstamp.dll /f "MyCert.pfx" /p MyPassword /d SignedFile.exe SignedFile.exe

ASP的ASPects杂志对如何签名代码进行了详细描述（您必须是会员才能阅读本文）。您可以通过http://www.asp-shareware.org/下载它

这里的链接描述了如何制作自己的测试证书。

这也可能很有趣。

另一种选择，如果你需要签署的可执行文件在Linux中是使用signcode从Mono项目的工具。在Ubuntu上受支持。

参考https://steward-fu.github.io/website/driver/wdm/self_sign.htm 注意：Microsoft SDK中的signtool.exe

1.第一次（制作私人证书）

Makecert -r -pe -ss YourName YourName.cer

certmgr.exe-添加YourName.cer -s -r localMachine根

2.之后（将您的标志添加到您的应用中）

signtool登录/ s YourName YourApp.exe

还有另一种选择，如果您正在Windows 10上进行开发，但未安装Microsoft的signtool.exe，则可以在Windows上的Ubuntu上使用Bash对应用程序进行签名。这是一个失败：

https://blog.synapp.nz/2017/06/16/code-signing-a-windows-application-on-linux-on-windows/

使用以下链接来签名.exe（安装程序/安装程序）文件（不使用Microsoft安装程序签名工具来签名exe /安装程序文件）

https://ebourg.github.io/jsign/#files

示例命令java -jar jsign-2.0.jar --keystore keystore.jks“ --alias别名--storepass密码MyInstaller.exe

为我工作:)

这不是问题的直接答案，但与之密切相关（我希望这是有用的），因为程序员迟早会把手伸进钱包里：

因此，EV签名的价格：

1年$ 350 +（$ 50隐性费用）
2年$ 600
3年$ 750
[www.ksoftware.net] [3]
eToken作为USB记忆棒发送。无需读者。
您实际上是从Comodo（Sectigo）购买的

1年350欧元
3年799欧元
sklep.certum.pl

1年$ 499 USD
3年$ 897 USD
sectigo.com

1年$ 410总计
2年$ 760总计
3年$ 950总计
www.globalsign.com

1年：$ 600（过去是$ 104）
3年：？
www.digicert.com

1年：700美元
3年：可笑的昂贵
[ https://trustcenter.websecurity.symantec.com/]

此处提供更多价格：https：
//cheapsslsecurity.com/sslproducts/codesigningcertificate.html

另请参阅Erick Castrillo添加的链接：cheapsslsecurity.com/sslproducts/codesigningcertificate.html