logo

EasySSL 是湖南赛云信息科技有限公司的注册商标。EasySSL 与 Sectigo (原 Comodo CA ) 有战略级别的合作关系,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的 SSL 证书颁发机构。

联系我们

0731-85818443

support@easyssl.com.cn


工作时间:周一到周日: 早10点 – 晚12点


长沙市雨花区万家丽中路一段中庭国际1613

全场5折起,联系客服获取优惠

电话:0731-85818443

Top

代码签名文档

EasySSL® / 代码签名文档

对于Windows内核驱动签名,微软明确要求使用EV代码签名证书,对于Windows 10经由CA权威机构签发的EV代码签名证书给驱动签名后还必须递交到 Windows Hardware Developer Center Dashboard入口去获得微软的二次数字签名才能正式发布。 对于Windows内核驱动签名,微软明确要求使用EV代码签名证书,对于Windows 10经由CA权威机构签发的EV代码签名证书给驱动签名后还必须递交到 Windows Hardware Developer Center Dashboard入口去获得微软的二次数字签名才能正式发布。 历史背景 2015年10月31日起Windows 10中普通代码签名证书无法用于内核模式驱动签名,必须用EV 代码签名证书签名。 2016年8月1日起所有Windows 10 内核模式驱动经过CA权威机构签发的EV代码签名证书驱动签名后,都必须递交到Windows Hardware Developer Center Dashboard入口去再获得微软的二次数字签名,否则签名会被提示不合法。 在此基础上,给Windows 10的内核驱动进行签名必须要购买EV代码签名证书,签名时还需要添加微软的交叉签名,签名成功后再通过微软开发者中心递交签名文件,这样一个完整的过程才能让你的驱动在Windows10中正常使用。 如何对内核驱动签名 对内核驱动的签名需要使用微软官方的WDK的SignTool进行签名,关于准备工具及证书信息参考:EV代码签名证书签名Windows软件。 准备交叉签名 对于内核驱动签名均需要提供微软给CA权威机构准备的交叉签名,下载对应的交叉签名:交叉签名证书下载,下载后与EV代码签名证书放置在同一目录 SignTool签名 打开WDK的命令行SignTool工具,以Comodo EV Code Signing证书的签名为便(下载AddTrust_External_CA_Root.cer交叉签名),输入以下命令 signtool sign /v /ac "D:AddTrust_External_CA_Root.cer" /s MY /n "Your Company Name" /t http://timestamp.comodoca.com/authenticode "D:driver.sys" signtool sign /v /ac "D:AddTrust_External_CA_Root.cer" /s MY /n "Your Company Name" /as /fd sha256 /tr http://timestamp.comodoca.com/rfc3161 "D:driver.sys" 该命令是对驱动的双签名,双签名在过渡阶段能够兼容低版本操作系统,第一行是sha-1签名,第二行是sha-256签名,详细如下: ac 配置交叉签名路径 /n 证书对应企业名称 /as /fd sha256 是针对驱动的sha-256签名 /t 针对过时的sha-1时间戳 /tr 是sha-256对应的时间戳 签名成功后需满足5级证书链接的基本条件 测试签名 执行下方命令,看到和签名成功一样的结果即表示签名成功 signtool.exe verify /pa /v "D:driver.sys" *注意:对于上述签名成功的驱动文件,在当前Windows电脑上测试该签名文件,是无法正常测试的,请开发人员在开发环境测试成功之后,将此发行文件提交至Windows Hardware Developer Center Dashboard,经过微软二次签名后才能在正式版的Windows上运行 常见错误 1、用国内开发的一些签名工具不能给驱动文件签名吗? 由于EV代码签名证书的载体是加密后的U盘存储,并没有pfx证书文件格式,所以只能使用signtool进行签名 2、调用驱动文件时报577错误或31错误 自2016年8月1日起,签名后的驱动文件必须将此发行文件提交至Windows Hardware Developer Center Dashboard,经过微软二次签名后才能在正式版的Windows上运行,否则均提示证书签名无效。 至此,Windows 内核驱动签名注意事项就介绍到这,关于更多详情参考参考微软官方说明:对内核驱动程序进行证明签名以便公开发布,或通过右下角联系客服进行详细了解。...

代码签名为您的可执行文件提供了完整性,确保它们没有被修改或破坏。许多现代操作系统都需要代码签名,以保护其用户免受未知来源或真实性保证的代码的侵害。 与HTTPS相似,由证书颁发机构创建的受信任证书会颁发给个人或公司,以允许他们签名将被主要操作系统识别的代码。 代码签名最重要的部分之一就是时间戳。这是签名过程的一部分,该过程使软件和用户即使在证书过期后也可以识别有效的代码签名。 如果您的软件由于代码签名证书过期而停止运行,请考虑将对用户造成的影响以及如何对其进行修复。您是否可以推送更新,或者由于过期的签名,该机制也会被破坏?在紧急情况下开发和部署补丁需要多少费用?如果您的软件停止运行,您的用户会遭受自己的业务影响吗? 由于过期签名的影响很大,因此,良好地理解和记录代码签名过程以及始终为软件签名以保留签名非常重要。 带有时间戳记不仅是确保软件持续可用性的最佳做法,而且还提供了安全性好处。如果由于密钥泄露而需要吊销证书,则吊销日期之前签名的所有内容将继续起作用,并且任何新的签名均将无效。 我们将介绍时间戳记和最佳实践的背景,以确保您永远不会在软件签名中遇到任何意外问题。   什么是时间戳记? 带有时间戳记可将您的软件签名保留下来,以便在代码签名证书过期后,操作系统和其他软件可以接受该签名。在评估签名时,时间戳允许对照签名的时间(而不是执行软件的当前时间)来检查签名的有效性。 没有时间戳,签名将根据当前日期进行评估。您可能已经在几年前发布了软件,在这种情况下,您的证书将过期并且签名将不再有效。这将阻止用户运行您的软件,并且视平台而定,可能无法绕开它。 例如,您的代码签名证书在整个2017年(2017年1月1日至2017年12月31日)有效,并且您在2017年11月对可执行文件进行了签名并加了时间戳。用户下载了可执行文件并立即运行—他们的操作系统会检查时间戳并评估它是否在11月有效,而不是检查代码签名证书当前是否有效。它看到证书然后是有效的,并且签名被接受。 请注意,每次用户运行可执行文件时,都会对其进行签名检查。这意味着,如果您的证书过期且没有时间戳记,则该软件将突然对所有用户停止工作。 对于大多数软件,您将其分发给用户并希望其能尽可能长时间地工作—这使时间戳记成为签名过程中必不可少的一部分,以便您的软件可以继续使用多年。 时间戳本身已由您的CA签名并受到保护,使其不受篡改或欺骗的影响,并且具有加密安全性。将时间戳记视为反签名。 在Windows上,如果提供您的代码签名证书的CA不可信,则时间戳还可以使您的签名保持有效。   最佳实践 首先也是最重要的:使用时间戳记!在许多工具(例如Microsoft的SignTool)中,时间戳是可选的。确保您了解时间戳记如何与您的开发工具一起使用。我们提供最流行环境的文档,包括Windows,Mac OS和Java。 检查平台支持:SHA-2是用于标记签名的现代标准算法。但是,某些仍在使用的操作系统默认情况下不支持SHA-2-Windows 7仅支持带有修补程序的SHA-2。如果您认为较旧的操作系统在用户中很受欢迎,请考虑是否应使用SHA-1签名或带有两个证书的双重签名来支持这两种算法。 使之成为构建过程的一部分:更新软件时,将构建并发布新的可执行文件。确保签名和时间戳是该过程的一部分,以避免每个软件版本出现意外问题和错误。 记录过程:您比其他人更了解您的开发工具和过程。时间戳在签名过程中需要其他标志和命令,包括URL以便从CA安全地检索时间戳签名。确保人员或程序上的更改不会导致有人忘记正确签名您的软件。 限制密钥泄露的损害:时间戳记为操作系统提供了一种方法,用于识别是在证书吊销之前还是之后签发了签名的可执行文件。如果由于密钥泄露而需要吊销证书,则可以放心地这样做,而不会给您加盖时间戳的合法签名失效。将根据撤销日期检查时间戳记,并且在该日期之前发出的所有内容将继续有效。   证书过期的重要性 一个普遍的误解是,证书到期仅是证书颁发机构向您收取更多钱的机会。从技术角度来看,证书有效期是使系统正常运行所必需的PKI的基本部分,尤其是对于Web PKI而言,其中有多个独立的参与者正在交互。 PKI的主要目的之一是将身份(例如域名,组织或其他唯一标识符)绑定到公钥。使用任何类型的受信任证书,都会验证该身份以确保准确性。这使您(以及您使用的软件)有信心知道发给DigiCert.com/DigiCert,Inc.的证书确实归我们所有。对于代码签名,SSL和电子邮件证书,这是正确的。 例如,在您可以收到Software Developers LLC的代码签名证书之前。,您的CA供应商必须确保该公司确实存在,已正确注册并在您当地政府中享有良好信誉,并且您确实是该公司的雇员,有权申请证书。 到期是CA重新检查此信息以确保身份和公钥之间的绑定仍然正确的机会。这样,应该将受信任的证书视为类似于护照或驾驶执照的身份证明文件,该文件也将过期。签发您这些文件的政府希望偶尔能够确保信息仍然准确,并且您仍然有权使用和获取该文件。 如果没有过期,证书将无限期起作用,从而使密钥背后的身份随着年龄的增长而变得可疑。公司和域名易手,可以重新注册,并且拥有这些证书的员工会离开。您是否相信颁发该证书的人仍拥有2010年颁发的证书?2000年颁发的证书怎么样? 吊销是一种附加机制,可以指示何时不应再信任证书,但是由于多种原因(包括性能,客户端软件中缺少吊销状态检查以及可用性),无法将吊销作为主要原因。证书无效的方法。 证书到期还有其他多种原因-如果证书被盗用,可以确保在有限的时间范围内恶意使用该证书,并提供了使用新密钥对重新加密证书的机会(最佳做法),并升级到当前的加密方法,例如新的签名算法或更强的密钥。...

EV代码签名证书在原代码签名证书基础上加强对企业身份的验证。亚洲诚信目前主打的EV代码签名证书只有一款:Symantec 微软EV代码签名证书(Symantec EV Code Signing Certificates)。 该证书支持window 10内核驱动签名,微软WHQL徽标认证计划唯一合作伙伴。 微软从Windows Vista开始,在x64为系统上强制推行数字签名。即没有经过WHDL和RDS认证并数字签名的硬件驱动程序将无法在Vista x64版本上成功安装。在后续的Vista版本上,微软会逐步加强对数字签名的要求,最终要求所有的应用程序必须经过签名才能在Windows系统上运行。 针对EV代码签名证书,EasySSL提供全面的售前售后服务。如您有意申请此款证书,只需向客服人员提出申请,售前客服人员会给出详细的申请流程及购买流程指南。证书申请完成后,也不必为安装、部署证书感到苦恼。我们有专业的技术人员全程提供技术支持服务。 EasySSL -- 为您的软件安全保驾护航...

代码签名(Code Signing) 是对可执行文件或脚本进行数字签名以确认软件作者及保证软件签名后未被修改或损坏的措施,此措施使用加密散列来验证真实性和完整性。代码签名证书则是为软件开发者提供的一个理想的解决方案,使得软件开发者对其软件代码进行数字签名。 对代码进行数字签名可以对软件开发者及软件来源进行标识,保障软件在签名之后不被恶意篡改其代码。当用户下载或安装软件是,减少系统的安全警告。代码签名的基础是PKI安全体系。代码签名证书由签名证书公钥以及私钥证书两部分组成。私钥用于代码的签名,公钥用于私钥签名的验证及证书持有者的身份识别。用于代码签名的公钥可以追溯到受信任的CA机构根证书,使用安全的公钥基础设施(PKI)是最佳做法。这虽然不能代码本身可信,但是可以确保它来自所声明的来源。一个CA机构可以提供根级别的信任,并能以代理的方式将信任分配给其他人。如果用户信任一个CA,那么用户也相信该CA及其代理生成的密钥所签名的代码合法性。许多操作系统和框架都内置对一个或多个现有CA的信任(例如VeriSign/Symantec、DigiCert、TC TrustCenter、Comodo、GoDaddy及GlobalSign等)。对大型组织来说,实现与公共CA功能相同但仅在组织内信任的私有CA也是常见的选择。 EasySSL代码签名证书产品有: GlobalSign: Symantec 微软代码签名证书 Office and VBA代码签名证书 Android代码签名证书 Java代码签名证书 Adobe AIR代码签名证书 Thawte代码签名证书 效果展示: 对软件进行数字签名后能够让用户了解软件以及软件发布者的相关信息,并减少安全警告。以微软代码签名为例。效果如下: 签名前效果 签名后效果 通过与SSL证书所用的相同的行业标准加密保护软件安全,使其他人无法修改你的软件代码。作为数字“安全签章”,向用户表示你的代码没有以任何方式被篡改。在下载和安装期间显示开发者姓名或是开发商名称,而不是“身份不明的发布者”,以便让用户知道该软件的合法性。适用于多种类型的文件和语言,包括:.exe、.cab、.dll、.ocx、JAVA、HTML、ActiveX,还包括Microsoft Office 宏文件和支持数字签名的任何其他文件类型。 在我司购买代码签名证书,还可以享受配套的服务。如:完善的本土化电话和电子邮件技术支持、证书有效期内提供的免费补发服务、EasySSL SSL证书运行状态监控服务,并且一次购买多年还可以享受优惠折扣。 EasySSL完善的售后服务,让你不必再担心证书安装以及部署困扰。专业的技术团队提供一对一的安装指导服务。 根据客户的不用运行环境,给出合理的安装建议。 EasySSL,你身边的网络安全专家...

代码签名不仅减少软件下载时弹出的安全警告,让您的用户可以放心下载软件;还可以使厂商信息对下载用户可见,从而建立良好的软件品牌信誉度,提升公司形象。更重要的是,代码签名可以防止您的软件被人非法篡改或被人非法捆绑一些间谍软件后用户下载,从而更有效地保护了软件开发商的切身利益和产品品牌。   在我们日常工作中,不同类型的代码签名证书,支持的功能略有不同,常见的功能支持如下所示: 功能 代码签名证书 EV代码签名证书 SHA-1 ✔︎ ✔︎ SHA-2 ✔︎ Windows XP,Vista,Windows 7(未安装微软安全补丁 3033929) ✔︎ Windows 7(已安装微软安全补丁 3033929)及以上系统 ✔︎ Office 宏 ✔︎ SmartScreen ✔︎ Windows硬件开发人员中心仪表板门户 ✔︎ 注意: 有关 EV 代码签名证书和 Windows 系统硬件开发人员中心仪表盘(Windows Hardware Developer Center Dashboard portal (Dev Portal))功能相关信息,可参看“代码签名证书的相关新闻”板块。...

按照代码签名证书产品类型划分,可以分为以下两种类型: 代码签名证书(Code Signing) 它是为软件开发者提供的一个理想的解决方案,使得软件开发者对其软件代码进行数字签名,确保用户下载的内容来自所声明的来源。 EasySSL代码签名证书产品有: GlobalSign a)Symantec 微软代码签名证书 b)Office and VBA代码签名证书 c)Android代码签名证书 d)  Java代码签名证书 e)  Adobe AIR代码签名证书 Digicert代码签名证书 Thawte代码签名证书   EV代码签名证书(Extended Validation Code Signing) EV代码签名证书在原代码签名证书基础上加强了对企业身份的验证。EasySSL目前主打的EV代码签名证书只有一款:GlobalSign 微软EV代码签名证书(GlobalSign EV Code Signing Certificates)。 该证书支持window 10内核驱动签名,微软WHQL徽标认证计划唯一合作伙伴。 微软从Windows Vista开始,在x64为系统上强制推行数字签名。即没有经过WHDL和RDS认证并数字签名的硬件驱动程序将无法在Vista x64版本上成功安装。在后续的Vista版本上,微软会逐步加强对数字签名的要求,最终要求所有的应用程序必须经过签名才能在Windows系统上运行。...

代码签名的基础是PKI安全体系。代码签名证书由签名证书私钥和公钥证书两部分组成,其中,私钥用于代码的签名,公钥用于私钥签名的验证和证书持有者的身份识别。结合证书的公钥和私钥,其具体的实现步骤为: 1.申请数字证书 发布者从CA机构申请数字证书。 2.发布者开发出代码 借助代码签名工具,发布者使用MD5或SHA算法产生代码的哈希值,然后用代码签名证书私钥对该哈希值签名,从而产生一个包含代码签名和软件发布者的签名证书的软件包。 3.运行环境访问到该软件包 用户的运行环境访问到该软件包,并检验软件发布者的代码签名数字证书的有效性。 4.使用代码签名 用户的运行环境使用代码签名数字证书中含有的公钥解密被签名的哈希值。 5.新产生一个原代码的哈希值 用户的运行环境使用同样的算法新产生一个原代码的哈希值。 6.用户的运行环境比较两个哈希值 用户的运行环境比较两个哈希值。如果相同,将发出通知声明代码已验证通过。所以用户可以相信该代码确实由证书拥有者发布,并且未经篡改。 同时,你可以参考下面的流程图: 整个过程对用户完全透明,用户将可以看到软件发布者提示信息,并可以选择是否信任该软件发布者。在选择信任软件发布者之后,运行所有该软件发布者签名的程序时将可以不再收到任何提示信息。...

亚洲诚信数字签名工具专业版(TrustAsia Code Signing Tool)是市面上唯一一款集图形化和命令行于一体的专业数字签名工具。支持应用程序代码签名、ActiveX控件数字签名、64位驱动程序数字签名,功能全面,简单易用。它的用户界面如下图所示:   除此之外,它还拥有一下功能特点: 签名测试: 内置免费测试证书,一键安装和签名测试。 证书管理: 随时对证书进行备份和恢复。 签名规则: 独创签名规则,一键式数字签名。 数字签名: 代码签名,驱动签名一应俱全,支持文件或文件夹拖放。 签名校验: 签名状态检查,确保数字签名有效性。 右键签名: 直接在资源管理器中右键对应用程序和驱动进行签名。 CAB 打包: 对 ActiveX 控件和相关文件进行打包和签名。 CAT 生成: 对驱动和 INF 及相关文件进行安全编目签名。 批量签名: 自动适配双签名,批量签名时可以自动切换签名模式,解决不支持双签名的文件签名失败的问题。 时间戳: 内置 Symantec、Thawte、Comodo、WoSign 等各家主流时间戳服务器,支持 RFC3161 时间戳。 兼容性: 支持在 WIN7 系统上进行双签名、RFC3161 时间戳(独有),支持各家 CA 的代码签名证书,兼容 EV 代码签名证书 如何下载此工具 点击此链接下载此工具:https://www.trustasia.com/sign-tools 注意:凡在我司购买代码签名证书,还可以享受配套的服务。我们会根据客户的不同运行环境,给出合理的安装建议,和全程技术支持。...

代码签名证书(Code Signing Certificates)是为软件开发商提供了一个可以进行代码软件数字签名的认证服务,使得软件开发商能对其软件代码进行数字签名。 它的目的: 代码签名证书通过对代码的数字签名,来标识软件来源以及软件开发者的真实身份,从而让您的用户确信下载的软件确实是您开发的,放心地下载您的软件代码,这么做也有利于您公司的业务发展。 与此同时,该证书的价值还体现在证明该代码没有被非法修改和破坏的,确保了该代码的可信度和有效性。 有代码签名证书的好处: 在我们日常工作中,有了代码签名证书的好处包含: 避免Internet Explorer 以及 Windows 操作系统中弹出的“不明发行商”的安全警告,顺利下载。 开发商所发行的代码程序或内容若通过代码签名验证可提升软件的下载、采用率和发行率。 减少代码程序及内容出现错误讯息和安全性警告,建立品牌的信任关系。 防止使用者下载到含有恶意档案的代码程序及内容。 终端使用者透过互联网和行动网络下载、安装代码程序和内容时,由系统跳出开发者的信息,大幅提高安全性。 确保终端用户知道该软件是合法的,且该代码自发行以来没有被篡改过。 在实际应用中,没有代码签名和有代码签名的区别: 以微软代码签名为例,当你在Windows系统上下载软件时: 你没有微软代码签名证书,该下载会被Windows系统阻止,并提示“未知”发布者的安全警告: 你有微软代码签名,下载时会显示开发者姓名或是开发商名称,以便让用户知道该软件的合法性: ...