- Start powershell
- Войти исполнимый
- Для электромобилей код подписывая, прикрепите свой usb-токен к компьютеру (если вы еще этого не сделали).
- Другие варианты
- Зачем нужна цифровая подпись
- Используйте файл pkcs # 12 / pfx
- Как подписывать инсталляции в инсталляторе createinstall
- Как получить цифровую подпись
- Подписание файла windows exe
- Подписываем приложения на компьютере с помощью программы signtool
- Проверить подпись
- Укажите имя темы
- Укажите хэш sha1
- Установить windows sdk и signtool
Start powershell
Начать Powershell командное окно, выполнив поиск «Powershell» в Start меню и нажав на рабочем столе приложения.
Powershell – это интерфейс командной строки для основных служб Windows. Вы можете использовать его для выполнения SignTool и подписания кода.
Войти исполнимый
Вы можете подписать исполняемый файл, введя следующую команду в окне Powershell.
. signtool.exe sign / fd sha256 / a "C: path to MyExecutable.exe"
Примечание: Если вы подписываете файлы кода, которые будут включены в установщик (например, файл Windows MSI), вам нужно будет подписать эти файлы перед сборкой установщика, а затем подписать сам файл установщика.
Для электромобилей код подписывая, прикрепите свой usb-токен к компьютеру (если вы еще этого не сделали).
Помните, что закрытый ключ существует только на USB-токене, который был отправлен вам, и что токен должен быть прикреплен на компьютер, который используется для подписи приложения. Этот шаг следует пропустить, если вы используете сертификат подписи кода OV.
Другие варианты
Другие важные параметры SignTool:
Использование всех вышеперечисленных опций (но без /a, /sha1 или /f потому что мы указываем имя субъекта сертификата с помощью /nнаша командная строка выглядит так:
Зачем нужна цифровая подпись
Цифровая подпись предназначена для того, чтобы указать автора программы и показать, что данная программа или файл не был изменен другими лицами. Если кто-то попробует модифицировать подписанную программу, то цифровая подпись сразу становится недействительной. Это главное предназначение цифровой подписи.
Второе преимущество подписанных программ и инсталляций состоит в том, что антивирусные программы более лояльно относятся к подписанным приложениям. Ложные срабатывания и необоснованные попадания в карантин у подписанных программ встречаются реже.
Также сравните сообщения, которые показывает UAC при запуске подписанной и неподписанной инсталляции. Сообщение для подписанной инсталляции вызывает больше доверия у пользователя.
Используйте файл pkcs # 12 / pfx
Если у вас есть сертификат подписи кода и закрытый ключ в файле PKCS # 12 (также известном как файл PFX или P12), вы можете указать файл и его пароль в командной строке:
. signtool.exe sign / fd sha256 / f "C: path to MyCertificate.pfx" / p пароль "C: path to MyExecutable.exe"
Как подписывать инсталляции в инсталляторе createinstall
Конечно, можно самостоятельно подписывать инсталляции созданные CreateInstall, но лучше автоматизировать этот процесс. К тому же, наш инсталлятор позволяет подписывать uninstall.exe и update.exe, которые будут потом распакованы при установке вашей программы на компьютер пользователя.
Рассмотрим следующее решение с использованием утилиты kSignCMD.exe, которая входит в программу kSign. Создайте .bat файл примерно следующего содержания и сохраните его в секретном месте. Самое главное, чтобы он был доступен в момент сборки вашего дистрибутива. [pfxfile] замените на полный путь к вашему .pfx файлу, а [password] замените на ваш пароль.
Команда pause нужна, чтобы вы могли вовремя обнаружить ошибку, которая может возникнуть при попытке подписать приложение. С другой стороны, из-за этой команды вам придется нажимать на какую-нибудь клавишу для продолжения процесса создания дистрибутива.
"C:Program Files (x86)kSignkSignCMD.exe" /f "[pfxfile]" /p [password] %1 %2 %3 %4 %5 pause
Сейчас откройте ваш проект в CreateInstall и перейдите к закладке Проект – страница Setup Builder. В поле Application for Code Signing укажите полный путь к созданному нами .bat файлу. Он будет запускаться когда потребуется подписать приложение.
Далее укажите параметры для подписывания дистрибутива, деинсталлятора и программы проверки обновлений. Первым параметром должно быть определено общее наименование программы, а вторым , который будет автоматически заменен на полный путь к подписываемому приложению. Например, значения могут быть следующими:
Parameters for Signing of Installation File: Setup "<exefilename>" Parameters for Signing of Uninstaller File: Uninstall "<exefilename>" Parameters for Signing of Updater File: Update "<exefilename>"
В данном случае, CreateInstall вызовет наш .bat файл для подписывания установки, деинсталлятора и программы обновления, если вы включаете ее в свой проект.
Как получить цифровую подпись
Цифровую подпись можно купить у специальных организаций. Например, Comodo, Verisign (Symantec). Сертификат можно приобрести как на один год, так и на несколько лет. Цены начинаются от $100-150 за один год, но через партнеров можно купить сертификат дешевле.
Например, KSoftware, являсь стратегическим партнером Comodo, продают сертификаты за $95 в год и есть скидки при его покупке на несколько лет. После того как вы произвели оплату, сотрудники соответствующей организации удостоверятся, что вы являетесь именно тем лицом или организацией на чье имя выдается цифровая подпись.
Когда все данные проверены, вам будет дана ссылка, по которой вы загрузите сертификат в Internet Explorer и затем вам нужно сохранить его в виде файла с расширением .pfx, также у вас должен быть пароль, который вы указывали при формировании заявки на сертификат.
Подписание файла windows exe
У меня есть EXE- файл, который я хочу подписать, чтобы Windows не предупредила конечного пользователя о приложении от «неизвестного издателя». Я не разработчик Windows. Рассматриваемое приложение является заставкой, созданной из приложения, которое генерирует приложения-заставки. Таким образом, я не имею никакого влияния на то, как создается файл.
Я уже узнал, что мне понадобится сертификат подписи кода от ЦС, такого как Verisign или instantecpexpert.ru. Что я не понимаю, так это то, что мне нужно сделать (если это вообще возможно), чтобы подписать мой EXE-файл. Какое простое объяснение?
Ответ Мела Грина взял меня дальше, но signtool просит меня указать, какой сертификат использовать в любом случае. Могу ли я получить бесплатный сертификат подписи кода, чтобы проверить, будет ли это работать для меня вообще?
Также, пожалуйста, укажите, какой тип сертификата является правильным. Большинство сайтов упоминают только «подписывание кода» и говорят о подписи приложений, которые фактически скомпилированы пользователем. Это не тот случай для меня.
Подписываем приложения на компьютере с помощью программы signtool
Категория:
Статьи » Взлом смартфонов Nokia
В этой статье я расскажу вам, как подписать неподписанное приложение с помощью программы SignTool, делается это на ПК. SignTool – специально разработанное приложение, которое позволяет подписывать приложения для Symbian 9.x. Все ниже написанное подразумевает, что у вас уже есть cer-файл и key-файл. Если таковых файлов нет, то получить их можно ЗДЕСЬ, воспользовавшись сервисом получения сертификатом на сайте allnokia.
Скачиваем саму программу SignTool. Далее распаковываем архив к себе на ПК в любую удобную для вас папку. Для того, чтобы запустить программу используйте ярлык с именем SIGNTool.1230.exe. Интерфейс программы понятен, тем более он на русском языке. Думаю нам все же стоит рассмотреть его, разбив на несколько блоков:
1 – путь к подписываемому файлу.
2 – сертификат, ключ к нему и пароль.
3 – путь, по которому будет сохранен подписанный файл (можно в ту же папку, в которой лежит и не подписанный файл).
4 – операции с файлами приложения 
Для начала выберем приложение, которое мы хотим подписать, для этого используйте кнопку “Добавить”. В открывшемся окошке под названием проводник укажите путь к приложению на своем ПК. В итоге в окошке вы увидите файл, который собрались подписать. 
Замечу, что можно добавлять файлы пакетно, а не по одному, таким образом вам не прийдеться подписывать каждый файл отдельно. Вот если файлы находятся в одной директории, то использовав клавишу Ctrl можно выбрать сразу несколько нужных вам файлов. Если же файлы в разных директориях, то добавляйте их по отдельности, все выбранные вами файлы будут отображаться в окне этого блока программы. 
Теперь укажем место хранение cer и key файлов, используем для этого ту же кнопку Добавить. Если пароль не нужен, а на те сертификаты, что выдаются сейчас, он как раз таки и не нужен, то поле пароль оставляем пустым, если же вы вводили пароль ранее, то нажмите на кнопку Очистить. Если сертификат нуждается в пароле, то это поле обязательно заполняем, те сервисы, которые выдают сертификаты, обычно указывают наличие пароля и сам пароль. 
Укажите папку, в которую будут сохранены подписанные файлы, если поле оставить пустым, то файлы будут автоматически сохранятся в ту папку, где лежит оригинал (еще не подписанный файл). 
По умолчанию в SignTool уже предложено добавлять к именам файла следующие артикли: signed – это означает, что файл был уже подписан, и unsigned – значит то, что файл еще не был подписан. Рекомендую вам не изменять это поле, так как в этом случае вам будет легче ориентироваться в большом количестве файлов.
После заполнения нами всех полей можно приступать к самой процедуре подписи.
Если же вам не известно, был ли ранее подписан этот файл или нет, то стоит перед процедурой подписи удалить все подписи из подписываемого файла. Для этого используем кнопку Удалить сертификат. 
1) В случае если файл не содержал в себе сертификата, то вам высветится окошко, в котором будет написано об этом. В следствии файл с привязкой unsigned не будет сохранен в папку, которую вы указывали ранее для сохранения подписанных/неподписанных файлов.
Нажимаем ОК.
После появится сообщение, что сертификаты удалены, оно появится даже в том случае, если никаких сертификатов в приложении не было и они не удалялись, в общем в любом случае SignTool ыводит это сообщение, которое сигнализирует об окончании процедуры удаления подписей. Нажмите ОК и продолжите работу с файлом, а точнее продолжите процедуру подписи.
Продолжим нашу процедуру. Нажимаем на кнопку Подписать.
Если все хорошо и процедура прошла успешно, программа сообщит нам об этом выдав сообщение, что файл(ы) подписаны. Нажимаем ОК.
Теперь открывайте ту папку, в которую вы сохраняли подписанные файлы, если вы не указывали путь для сохранения подписанных файлов, то ищите их там, где лежит подписываемый вами файл. Подписанный файл будет иметь приставку к имени – signed, означающая, что файл подписан. Теперь можете устанавливать приложение на свой смартфон. 
2) Теперь рассмотрим ситуацию с файлами, которые содержат сторонний сертификат.
И так, сначала вы нажали на кнопку Удалить сертификат.
После этого вам будет выведено на мониторе ПК сообщение, что сертификат был удален, а сам файл с удаленным сертификатом сохранится либо в ту папку, которую вы указывали для сохранения подписанных/неподписанных файлов, либо, если вы таковой не указывали, в папку с оригиналом. При этом файл с удаленным сертификатом будет иметь приставку к имени unsigned. Нажимаем ОК.
С тем файлом, который был выбран ранее, нам продолжать работу нельзя, т.к. в нем содержится сторонний сертификат. Вам нужно заменить их файлом, в котором вы удалили сертификат. Нажимаем на кнопку Очистить.
В следствии поле с выбранным вами файлом, который содержит стороннюю подпись, будет очищено. Теперь вам нужно выбрать файл, без подписи, в котором вы только что эту самую подпись удалили. Этот файл будет иметь приставку к имени Unsigned.
Как вы можете видеть, гораздо удобнее создать одну папку для сохранения подписанных/неподписанных файлов, так вам будет проще ориентироваться во всем изобилие софта. В результате выбранный вами файл с приставкой unsigned будет активирован в программе, теперь вы можете продолжать работу с SignTool. Нажмите на кнопку Подписать.
В случае успешной завершении подписи программа сообщит вам об этом, выдав сообщение на монитор, что файл был подписан. Нажимаем ОК.
Теперь открывайте ту папку, в которую вы сохраняли подписанные файлы, если вы не указывали путь для сохранения подписанных файлов, то ищите их там, где лежит подписываемый вами файл. Подписанный файл будет иметь приставку к имени – signed, означающая, что файл подписан. Теперь можете устанавливать приложение на свой смартфон.
Возможные проблемы и пути их решения.
Если после того, как вы нажали на кнопку Подпись вам высветилось сообщение о том, что “файлы сертификата не совместимы” или “проверьте правильность сопоставления Сертификат-Ключ”, то это значит то, что ваш ключ не соответствует сертификату, в таком случае подпись приложений невозможна. 
Советую проверить вас еще раз правильность указания путей к cer-файлу и key-файлу. 
Если же ошибка повторилась, то попробуйте еще раз распаковать файл ключей и сам сертификат либо закажите новые файлы. Всем успехов!
Проверить подпись
Используйте эту команду для проверки подписанного кода (обратите внимание, что /pa опция должна присутствовать в команде):
. signtool.exe verify / pa "C: path to MyExecutable.exe"
Если ваш файл был успешно подписан, вы должны увидеть следующий результат:
Файл: C: path to MyExecutable.exe Метка времени алгоритма индексации =================================== ===== 0 sha256 RFC3161 Успешно проверено: C: path to MyExecutable.exe
Вы также можете убедиться, что файл подписан, щелкнув его значок правой кнопкой мыши и выбрав Свойства из меню, затем выбрав Цифровые подписи таб. Чтобы просмотреть сведения о подписи, выберите ее и нажмите Подробнее кнопку.
Здесь мы видим, что файл содержит действующую цифровую подпись, созданную SSL Corp 28 июня 2020 года.
Укажите имя темы
Если у вас установлено более одного USB-токена или сертификата для подписи кода, вы можете указать сертификат вы хотите использовать, включая его Имя субъекта через /n опцию.
Вы можете найти имя субъекта вашего сертификата EV CS с помощью инструмента управления сертификатами Microsoft Certmgr. Откройте инструмент из меню «Пуск» и найдите свой сертификат EV CS в папке «Личные» в разделе «Сертификаты», как показано на изображении ниже. Имя субъекта – это поле «Кому выдано» в certmgr.
На изображении выше имя субъекта сертификата example, Вы можете указать это значение в SignTool с помощью следующей команды.
. signtool.exe sign / fd sha256 / n "пример" "C: path to MyExecutable.exe"
Укажите хэш sha1
Если у вас есть несколько сертификатов с одним и тем же именем субъекта, вы также можете использовать хэш SHA1 (или «отпечаток») сертификата, чтобы выбрать его для подписи. Заменить THUMBPRINT в приведенной ниже команде с фактическим хешем SHA1 вашего сертификата.
. signtool.exe sign / fd sha256 / sha1 THUMBPRINT "C: path to MyExecutable.exe"
Установить windows sdk и signtool
SignTool входит в комплект Пакет SDK для Windows 10, После установки SignTool будет находиться под:
C: Program Files (x86) Комплекты Windows 10 bin x64 signtool.exe
