EV代码签名证书对可执行文件进行签名

发布时间:2022/11/14 14:25:24 打印 字号:

how-to-sign-executable-files.jpg

根据最新的行业法规和政策,开发人员和组织必须对可执行文件进行数字签名。它帮助企业和用户分别提供和使用正版软件。

此外,大多数组织更喜欢将EV代码签名证书用于此类目的,以防止在安装过程中出现警告消息。

此外,使用EV代码签名证书对可执行文件进行签名是一项艰巨的任务。因此,您可以使用以下方法完美地完成操作。

让我们进一步了解“如何签署可执行文件”的答案。


了解可执行文件

可执行文件是最终用户在系统上为特定操作运行的计算机程序。不同的过程可以是安装软件、更新驱动程序或执行用编程和脚本语言编写的脚本。

您一定在计算机系统上看到过具有不同扩展名的文件。其中.EXE、.BIN、.BAT、.DMG、.APP、.COM为可执行文件。

每当打开任何可执行文件时,操作系统都会检查其代码签名证书。如果可执行文件成功地通过了验证,它就会被执行。否则,屏幕上会显示未知发布者警告。

因此,每当任何开发人员或组织创建应用程序时,他们都会使用代码签名证书对其代码进行数字签名。此外,由于其巨大的安全功能,EV代码签名证书被用来优化代码的真实性。


对exe文件进行数字签名的机制:如何签署EXE文件的答案

为确保为所有用户提供无可挑剔的体验,您必须将EV代码签名证书与您的代码集成。此外,它还有助于防止DefenderSmartScreen警告。

但是,在签署代码之前,您必须检查以下要求:

  • 您已完成验证程序

  • 您拥有Microsoft Authenticode 代码签名证书

  • 您使用的最低版本为Windows操作系统版本7

  • 您的系统上有PFX文件格式的代码签名证书

验证所有详细信息后,您可以按照以下方法来提高用户满意度和信任度:


方法1:使用命令提示符进行签名

在这种方法下,您必须在命令提示符下运行指令,您的可执行文件将被签名。

第1步:单击Windows图标,然后搜索命令提示符。

第2步:在包含代码签名证书文件的机器上运行命令提示符。

第3步:您必须根据您的要求运行命令。如果您的PFX文件有密码,则必须运行以下命令。

SignTool sign /f YourCertFile.pfx /p
AddYourPasswordHere YourSoftware.exe

它将对您的代码进行数字签名。您必须根据项目更改命令中的值。例如,您必须编写可执行文件名而不是YourSoftware.exe。同样,您必须编写自定义密码而不是AddYourPasswordHere。

此外,如果您的PFX文件没有密码保护,您必须运行以下提供的命令。

SignTool sign /f YourCertFile.pfx /p
YourSoftware.exe

第4步:运行命令后,您的可执行文件将获得代码签名证书的附加安全层。


方法2:签名和时间戳

时间戳可帮助用户了解软件何时由发布者进行数字签名。它提高了代码的真实性并降低了DefenderSmartScreen警告消息的概率。

您必须打开命令提示符并运行以下命令来执行它。

SignTool Sign /f YourCertFile.pfx /t
https://timestamp.certiciate-authority-name.com YourSoftware.exe

时间戳的主要优点是增强代码安全性。通过它,用户将了解代码是否被篡改。此外,发布者不必重新签署代码,因为时间戳将使其在更长时间内有效。


方法3:使用安全令牌

在这种方法中,您必须在您的机器上安装安全令牌、其驱动程序和相关硬件。此外,您还需要在FIPS140-2Level2Token上保存EV代码签名证书并安装它。

此外,您必须选择是否要通过自动或手动程序签署可执行文件。

在自动程序中,您必须执行以下步骤。

第1步:转到启动菜单并运行命令提示符。


第2步:如果要使用SHA256位加密对代码进行签名,请运行以下命令,定义要签名的文件的路径。

signtool sign /tr http://timestamp.certificate-authority-name.com /td sha256 /fd sha256 /a
"c: \path\to\file_for_signing.exe"

第3步:要使用SHA1代码签名证书,您必须运行命令。

signtool sign /t http://timestamp.certificate-authority-name.com /a "c: \path\to\file_for_signing.exe"

此外,如果您需要使用手动方法,您可以按照下面列出的步骤进行操作。

第1步:通过打开证书管理器复制代码签名证书的名称。转到启动菜单,搜索certmgr并运行它。

步骤2:在左侧面板的个人文件夹下,打开证书,您将找到本地计算机上的所有证书。

signtoolsign/trhttp://timestamp.certificate-authority-name.com/tdsha256/fdsha256/n"subjectname"

"C:\path\to\fileForSign.exe"

第3步:要使用256位SHA加密对代码进行签名,您必须使用以下命令。

signtool sign /t http://timestamp.certificate-authority-name.com /a "c: \path\to\file_for_signing.exe"

此外,您必须自己定义文件的主题名称和路径以保护它。

第4步:要使用SHA1加密证书,您可以运行以下命令。

signtool sign /t http://timestamp.certificate-authority-name.com /n "subject name" "C:\path\to\fileForSign.exe"

为什么你应该签署可执行文件

  • 签署可执行文件提供了巨大的优势,例如:

  • 它使代码具有真实性并提高了其完整性。

  • 防止用户收到未知发布者警告或DefenderSmartScreen消息。

  • 增强用户对组织的信任。

  • 使代码防篡改并防止黑客和破解者执行恶意活动。

  • 增加公司收入,因为更多用户更喜欢使用可靠的软件。

  • 使利益相关者能够运行软件并将其与其他系统轻松集成。

总结:什么、如何以及为什么要签署Exe文件

随着多个可执行文件的快速发布,必须对它们进行数字签名。它有助于防止代码篡改并优化组织的声誉和收入。EV代码签名证书是由专家考虑的高级证书,旨在为最终用户提供轻松的体验。

此外,使用EV代码签名证书对可执行文件进行签名是一项高优先级任务,需要全神贯注。虽然,有多种方法可以准确地完成它。您可以使用外部硬件令牌或使用Windows系统上的命令提示符运行快速命令。

因此,您将能够向利益相关者提供安全的可执行文件。