自建CA实战之 《0x03 代码签名》

最新推荐文章于 2025-01-12 16:54:02 发布
最新推荐文章于 2025-01-12 16:54:02 发布
阅读量1.3k 收藏 24
点赞数 26
分类专栏: 数字证书 文章标签: 签名 程序签名 数字证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45919616/article/details/134634503
版权

自建CA实战之 《0x03 代码签名》

本文针对Windows平台,介绍如何使用自建CA来签发代码签名证书。

之前的文章中,我们介绍了如何自建CA,以及如何使用自建CA来签发Web服务器证书、客户端证书。

本文将介绍如何使用自建CA来签发代码签名证书。用于给程序签名。

代码签名的好处是:

  • 证明程序的作者是谁。
  • 证明程序没有被篡改过,没有被木马病毒感染过,凡是修改过一个字节,都会导致签名验证失败。

创建支持代码签名的证书

来源 选项卡中选择我们创建的CA。

在这里插入图片描述

主体选项卡中按需填写,就不再细说了。

在这里插入图片描述

扩展选项卡中,选择代码签名(Code Signing),下图中多选了Microsoft Individual Code SigningMicrosoft Commercial Code Signing,这两个选项是为了兼容性考虑,如果只是给自己的程序签名,可以只选Code Signing即可。

文末对这三个选项有比较详细的说明。

在这里插入图片描述

与上一章节导出客户端证书一样,这里我们导出格式选择pfx,然后设置密码。

在这里插入图片描述

使用代码签名证书签名程序

Windows代码签名工具下载

https://raw.githubusercontent.com/taills/tools/master/SignTool.zip

无法直接点击下载的,可以到仓库中下载。

https://github.com/taills/tools

我们把导出的证书文件拷贝到桌面,以及把我们要签名的程序拷贝到桌面。

注意:这里证书**不用双击打开导入!**因为我们要使用命令行工具来签名程序。

我们这里使用的是记事本(notepad.exe)程序,当然你也可以使用其他程序。

cd C:\Users\Administrator\Desktop
xcopy C:\Windows\System32\notepad.exe .

我们查看记事本程序的属性,发现它并没有签名。
在这里插入图片描述

我们使用signtool工具来给记事本程序签名。

Microsoft Windows [版本 10.0.19044.1288]
(c) Microsoft Corporation。保留所有权利。

C:\Users\admin>cd Desktop

C:\Users\admin\Desktop>xcopy C:\Windows\System32\notepad.exe .
C:\Windows\System32\notepad.exe
复制了 1 个文件

C:\Users\admin\Desktop>SignTool\signtool.exe sign /f CodeSigning-WeiPang.pfx /p 12345678 notepad.exe
Done Adding Additional Store
Successfully signed: notepad.exe

C:\Users\admin\Desktop>

在这里插入图片描述

我们再次查看记事本程序的属性,发现它已经被签名了。但是时间戳显示不可用,这是因为我们没有使用时间戳服务器,所以时间戳显示不可用。我们再次增加一个参数/t http://timestamp.digicert.com,使用时间戳服务器来签名。

C:\Users\admin\Desktop>SignTool\signtool.exe sign /f CodeSigning-WeiPang.pfx /p 12345678 /t http://timestamp.digicert.com notepad.exe
Done Adding Additional Store
Successfully signed: notepad.exe

再次查看属性,发现时间戳显示正常了。

在这里插入图片描述

总结

命令行签名的命令格式如下:

signtool sign /f 证书文件 /p 证书密码 /t 时间戳服务器 要签名的程序

三项代码签名证书的异同

  1. 证书类型:

    • Microsoft Individual Code Signing(个人代码签名)证书:适用于个人开发者或个人使用的代码签名证书。
    • Microsoft Commercial Code Signing(商业代码签名)证书:适用于商业实体或组织使用的代码签名证书。
    • 普通的Code Signing证书:这是一个更通用的术语,指的是由各种证书颁发机构(如Symantec、Comodo、DigiCert等)颁发的代码签名证书。

  2. 证书颁发机构:

    • Microsoft Individual Code Signing和Microsoft Commercial Code Signing证书由Microsoft自己的证书颁发机构颁发。
    • 普通的Code Signing证书由各种证书颁发机构颁发,不限于Microsoft。

  3. 应用范围:

    • Microsoft Individual Code Signing和Microsoft Commercial Code Signing证书主要用于Microsoft平台(如Windows操作系统、Office等)上的代码签名。
    • 普通的Code Signing证书可以用于多个平台,包括Windows、macOS、Linux等。

  4. 验证和信任:

    • Microsoft Individual Code Signing和Microsoft Commercial Code Signing证书在Microsoft平台上享有更高的信任级别,因为它们由Microsoft颁发。
    • 普通的Code Signing证书的信任级别取决于颁发机构的声誉和受信任的根证书列表。

  5. 价格和购买渠道:

    • Microsoft Individual Code Signing和Microsoft Commercial Code Signing证书通常具有较高的价格,并且只能通过Microsoft的官方渠道购买。
    • 普通的Code Signing证书的价格和购买渠道因证书颁发机构而异,通常有更多的选择。

总的来说,Microsoft Individual Code Signing和Microsoft Commercial Code Signing证书是专为Microsoft平台开发者和商业实体设计的,享有更高的信任级别,但价格较高且适用范围有限。普通的Code Signing证书则更通用,可以适用于多个平台,但信任级别可能因颁发机构的声誉而异。选择适合自己需求的证书时,可以考虑具体的使用场景、平台要求和预算等因素。

信息安全实战03-SHA256及RSA算法原理<万字细解>
initiallizer的博客
11-09 835
基于SHA256+RSA2048涉及的加密算法,详细介绍其中涉及的概念,作用原理,并结合本人理解整理成文。
Python全栈(八)Flask项目实战之6.前台注册功能开发
CUFEECR的博客
06-24 1431
后台的整体页面和基本架构已经搭建好,转到前台开发。首先对前台用户模型进行定义,属性比后台用户更多,在manage.py中进行映射。在相应目录下创建模板文件、css和js文件,视图文件中实现视图类;再实现图形验证码类,用于生成带随机验证码和干扰线的图片。在试图文件中实现生成随机图片验证码并添加到注册页,再通过JS控制点击更换图片。发送短信验证码一般通过使用第三方服务、调用SDK实现,并在公共文件夹视图文件实现具体功能。在模板中加入CSRF保护,通过表单对注册请求进行验证,还要对JS文件加密来提高安全性。
个人也可以申请VeriSign,Thawte 代码签名证书
weixin_34203426的博客
04-19 174
“当前越来越多的个人和个体工商户进入软件开发行业,但是以往的代码签名证书服务都是针对软件公司,从而将更多个体开发者挡在门外。”   从今日起,个人也可以通过维瑞申请VeriSign,Thawte 代码签名证书。   这样不但是对个人软件著作权有力的保护,同时也让下载用户更方便快捷地知晓软件的合法性和安全性。   详细购买流程请咨询维瑞客服。 转载于:https://...
个性签名代码
qq_44885018的博客
11-05 2885
引言 作为一个越来越开始准备深入学习it的小矛盾,怎么可能没有一个不错的个性签名呢?下面让我解读一个个性签名。 个性签名代码 next: while(!dead) { study(); srand(time(0)); if(hard()&&(99==(rand()%100))) { succeed(); goto next; } } 代码含义...
个人也可以通过维瑞申请VeriSign,Thawte 代码签名证书
10-17 360
  “当前越来越多的个人和个体工商户进入软件开发行业,但是以往的代码签名证书服务都是针对软件公司,从而将更多个体开发者挡在门外。”    从今日起,个人也可以通过维瑞申请VeriSign,Thawte 代码签名证书。   这样不但是对个人软件著作权有力的保护,同时也让下载用户更方便快捷地知晓软件的合法性和安全性。   详细购买流程请咨询维瑞客服。0755-33654663 ;QQ:18318...
个人开发者申请代码签名证书的签发流程
m0_61462682的博客
07-26 1529
的一种,是通过对代码的数字签名来标识软件来源以及软件开发者的真实身份,保证代码在签名之后不被恶意篡改,能够有效的验证该代码的可信度。随着现在个人软件开发者的增加,申请代码签名证书的次数也随之增多,那么个人开发者申请代码签名证书是怎么签发的呢?目前代码签名证书有IV型个人代码签名证书、企业版OV代码签名证书、专业版EV代码签名证书三种安全验证等级。(核实结果一般通过邮箱告知)第一步选择一个正规的SSL证书服务商购买代码签名证书,然后根据自己的需求选择SSL证书的类型,其中SSL证书的有效期通常也是一年;...
分享如何拥有一份私人的『开源代码签名证书』
01-10 3018
讲解如何拥有一份私人的代码签名证书,还是 『开源代码签名证书』→ Open Source Code Signing Certificate 🎉🎉🎉 当自己写的软件开发完毕后,若想进行商店软件发布,则下一步需要搞定**『代码签名证书』**。给你的 EXE 标记一个戳,写上一个被 Microsoft 所认证的签名
自颁发CA证书、自签名-nginx配置https
最新发布
xiaofeio的专栏
01-12 893
自颁发CA证书、自签名-nginx配置https
搭建CA认证中心及搭建https实战
qq_42170102的博客
03-25 7771
自建CA证书客户端及使用nginx搭建https 一、CA简单介绍CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用户的信息加密,保障了用户的信息安全。 二、OpenSSL实现CA证书认证中心的搭建 1、搭建环境 本文使用centos7 2~3台
病毒木马查杀实战023篇:MBR病毒之引导区的解析
墨鱼菜鸡
04-18 209
前言 引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课,会专门...
Win10 如何给Inf驱动文件签名
9527的博客
02-02 1万+
Win10 给INF驱动签名
一文搞定驱动签名流程(Win10
成功的方式只有一个,按自己的方式,度过人生。欢迎共赴知识与乐趣的探索之旅!
02-10 5661
在学习驱动的过程中免不了大量的测试,在驱动运行过程中,驱动签名一直是关键一环,因此带大家做一遍完整的驱动签名
SignTool Error: An error occurred while attempting/Error information: “SignerTimeStamp() failed.“
柳鲲鹏
11-01 805
具体错误 Done Adding Additional Store Successfully signed: TPlayerCore.dll SignTool Error: An error occurred while attempting to timestamp: TPlayer Core.dll SignTool Error: An unexpected internal error has occurred. Error information: "SignerTimeStamp() faile
windows应用程序签名
security_yj的博客
09-09 2598
遇到问题 解决方法 购买正式证书,如Global Sign,他们会提供签名工具 自签名证书,可使用微软的签名工具 https://docs.microsoft.com/zh-cn/dotnet/framework/tools/signtool-exe 步骤 1、安装vs2019,并打开developer powershell for vs 2019 2、执行如下命令 D:\signtoodemo>Makecert -sv test.pvk -r -n "CN=TCT" test.c.
VS2019+CAXACAD2023二次开发教程(一、环境搭建)
weixin_42968757的博客
02-04 2999
CAXACAD2023的二次开发相关文件和库都在的文件夹下。CAXACAD2023的默认开发环境是VS2019,如果是用VS2019的环境话,可以直接安装这个插件,安装好后就可以一键新建的项目,新建的项目会自动帮我们配置好所有的环境,并且生成必要的代码和初始的框架。(本来想用VS2022的,但配置环境太麻烦,用VS2022,增加一个环境变量是可以运行自带的例程的,但新建项目要配置的东西和环境太多,就放弃折腾了)
为发布的windows软件解决 “发布者:未知 ”问题
甜筒八部 的专栏
09-04 8818
用户安装我们发布的程序时,弹出UAC提示框: 您想允许来自未知发布者的以下程序对此计算机进行更改吗? 发布者:未知 对于软件发布者来说,如果安装程序出现该提示,很多用户就不会安装程序了。 从发布者的角度要解决这个问题,就需要对发布的代码进行微软代码签名认证。 用户帐户控制UAC 用户帐户控制(User Account Control,简写作UAC)是微软公司在其操作系统中采用的一种控制机制。是微软在Windows Vista 开始引入的技术,主要功能是当软件在做会影响系统安全的操作时,会触发U.
vs2012+win8内核编译环境
zz_strive_2012的专栏
11-14 468
好,旧社会的苦故事已经剧终了。现在开始讲翻身得解放的故事。新时代忽然就来了,VS2012给了我们新生活(此处当响起为英雄而欢呼般的掌声)!VS2012是Win8发布后出来的,有很多针对Win8的特性,但也能在Win7/Vista系统上运行。请您先下载安装VS2012软件,再安装Win8的WDK,WDK的编译环境会自动集成到VS2012中去。当您再次打开VS2012的时候,在新项目向导里面,就能够找
Error information: “Error: SignerSign() failed.“ (-2147012889/0x80072ee7)
柳鲲鹏
11-01 1143
具体错误 Done Adding Additional Store SignTool Error: An unexpected internal error has occurred. Error information: "Error: SignerSign() failed." (-2147012889/0x80072ee7) 解决办法 使用正确的时间戳网址: REM 这两个都是错的 REM SET HTTP_TIMESTAMP=http://timestamp.wosign.com/rfc31
Windows数字签名
热门推荐
wowolook的专栏
12-11 1万+
数字签名代码签名)流程 出处: http://www.cnblogs.com/itech/archive/2011/07/21/2110924.html Authenticode : 这里翻译为数字认证代码。 code sign : 字面的翻译为代码签名,但是通常的我们称为数字签名,以下的文中均称为数字签名。 一 数字认证码 如果你是软件开发人员,你可能已经知
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韦胖漫谈IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值