使用代码签名证书对EXE文件进行签名？

有关如何使用代码签名对exe文件进行签名的分步说明

是的很多开发者在Gworg申请了代码签名证书却不知道如何使用。

如果您想知道如何培养用户对您的应用程序或可执行文件的信任，对应用程序或可执行文件 (exe) 进行数字签名是确保这一点的最佳方法。

当可执行文件或应用程序经过代码签名时，数字代码签名将添加到文件中，其中包括有关发布者和用于签署文件的证书的信息。此数字签名是使用代码签名证书的私钥创建的，该私钥存储在证书持有者的安全设备上。

那么让我们讨论如何签署 EXE。

如何对 .EXE文件进行数字签名？

在开始签署 EXE 或应用程序之前，您将需要以下内容：

• 代码签名证书：这是可用于对您的软件进行签名的数字证书。您可以从商业证书颁发机构 (CA) 获取代码签名证书，也可以使用 makecert.exe 工具创建自己的证书。
• SignTool.exe：这是一个命令行工具，包含在 Windows SDK 中，可用于使用代码签名证书对文件进行签名。请务必确保您的设备上安装了最新版本的 SignTool.exe。

以下是 SignTool 可用的一些选项：

/f：指定代码签名证书的位置。

/p：指定代码签名证书的密码。

/tr：指定时间戳服务器的URL。

/td：指定时间戳使用的哈希算法。

/t：指定用于签名操作的时间戳服务器的 URL。

/d：指定签名内容的描述。

/du：指定有关签名内容的更多信息的 URL。

/a：自动从用户的证书存储中选择最佳的签名证书。

/v：验证文件的数字签名。

/debug：显示有关签名的详细信息

过程。

/n：指定代码签名证书的主题名称。

/r：指定用于搜索代码签名证书的证书存储的名称。

请务必注意，可用的选项取决于您使用的 SignTool.exe 的版本，并且某些选项在旧版本中可能不可用。您可以在 Microsoft Developer Network 网站上找到有关如何使用 SignTool 的更多信息和示例

• Windows 操作系统：SignTool.exe 与 Windows 操作系统兼容。
• 管理员访问权限：签署可执行文件或应用程序需要管理员访问权限。
• USB 令牌：如果您必须使用扩展验证 (EV) 代码签名证书进行代码签名，请务必确保在继续代码签名之前将由颁发证书颁发机构 (CA) 发送给您的 USB 令牌插入到您的设备中过程。
• 可执行文件或应用程序：您将需要要签名的可执行文件或应用程序。

拥有这些项目后，您可以通过以下方式启动签名过程：以管理员身份打开命令提示符窗口，导航到可执行文件或应用程序所在的目录，然后使用 SignTool 命令使用代码签名证书对文件进行签名。

现在让我们来了解如何签署 exe。请按照下面提到的简单步骤进行操作。

步骤 1：从商业证书颁发机构 (CA) 获取代码签名证书或使用 makecert.exe 工具创建您自己的证书。

步骤 2：以管理员身份打开命令提示符窗口。

步骤3：使用SignTool命令使用获得的证书对EXE或Windows应用程序进行签名，

Signtool sign /f <代码签名证书的路径> /p <代码签名证书的密码> <EXE 或 Windows 应用程序的路径>

步骤 4：使用 /tr 和 /td 选项为可执行文件添加时间戳，这是一个可选步骤，但它确保即使代码签名证书过期，可执行文件上的签名仍然有效。

signtool sign /f <代码签名证书的路径> /p <代码签名证书的密码> /tr <时间戳服务器的 URL> /td <哈希算法> <EXE 或 Windows 应用程序的路径>

请注意，时间戳服务器可能会根据所使用的证书类型和所使用的哈希算法而有所不同。

步骤 5：签名过程完成后，使用 SignTool 验证命令验证签名。

Signtool verify /v <已签名的 EXE 或 Windows 应用程序的路径>

通过执行概述的步骤，您可以完成Windows 代码签名过程。这将增加额外的安全层，证明其真实性并保证其完整性。

现在您的Windows 代码签名过程已完成，是时候确保您的 EXE 已正确签名，并且您的最终用户在安装时不会遇到任何问题。让我们看看如何做。

如何确保EXE已正确签名？

确保您的 EXE 已正确签名并且您的客户在安装它时不会遇到任何签名问题的最佳方法是使用 SignTool 验证命令验证数字签名。

要验证 EXE 或应用程序的数字签名，您可以在命令提示符窗口中使用以下命令：

Signtool verify /v <已签名的 EXE 或应用程序的路径>

此命令将显示有关数字签名的信息，包括发布者、用于签署文件的证书以及签名的日期和时间。

• 您还可以通过右键单击 EXE 或应用程序，然后选择“属性”并转到“数字签名”选项卡来检查签名；您将找到发布者、使用的证书以及签名的日期和时间。您还可以通过单击“详细信息”按钮来检查证书信息。
• 您可以在各种不同的系统和配置上测试软件的安装，以确保数字签名被识别并且软件可以顺利安装。
• 您可以与一组受信任的测试人员和 Beta 测试人员共享已签名的可执行文件或应用程序，以获得反馈并确保一切正常运行。

通过使用 SignTool 验证数字签名并测试软件的安装，您可以确保您的 EXE 已正确签名，并且您的客户在安装时不会遇到任何签名问题。

代码签名EXE！

Windows 代码签名并不是火箭科学，这就是为什么您必须在所有 EXE 上执行此操作。即使一个未签名的可执行文件或应用程序也可能导致广泛的安全事件。未签名的软件很容易被恶意行为者篡改，从而导致恶意软件或其他恶意软件的传播。这可能会导致广泛的安全事件并损害发布者的声誉。

通过在可执行文件和应用程序上使用代码签名，您可以帮助保护您的客户免受此类安全事件的影响，并证明您致力于为客户提供安全可靠的体验。现在您已经成为代码签名专家，让我们开始吧，不要给网络犯罪分子任何操纵您的机会。