使用SHA256证书进行微软数字签名代码签名

时间 2020-04-21

标签使用 sha256 sha 证书进行微软数字签名代码栏目 Microsoft 繁體版

原文原文链接

微软是第一个宣布了SHA-1弃用计划，在2016年以后Windows和IE将再也不信任SHA-1证书。正好咱们公司的数字签名也到期了，索性就从新申请了sha256和sha1的新数字证书，用来给产品签名。算法

查阅signcode的文档发现，signcode的命令行-a是用来指定数字签名的签名算法，只支持sha1和md5，不支持sha256。app

/fd来指定签名，md五、sha一、sha256均支持：ide

SignTool.exe sign /v /as /ac /f D:\test\sign\sign_sha256\xxx.pfx /p xxxx /t http://timestamp.wosign.com/timestamp /fd sha256 被签名文件路径

常见问题：ui

as选项不识别的问题，可能缘由：SignTool版本太低，使用win10的sdk，目录C:\Program Files (x86)\Windows Kits\10\bin\x86\signtool.exe。依赖的库有ncrypt.dll，bcrypt.dll等dll仅在vista及以上系统上有。须要拷贝到老系统上才能正常使用signtool.exe，同时拷贝同目录下的：spa

appxpackaging.dll
appxsip.dll
mssign32.dll
opcservices.dll
signtool.exe
signtool.exe.manifest
wintrust.dll
wintrust.dll.ini
Microsoft.Windows.Build.Appx.AppxPackaging.dll.manifest
Microsoft.Windows.Build.Appx.AppxSip.dll.manifest
Microsoft.Windows.Build.Appx.OpcServices.dll.manifest
Microsoft.Windows.Build.Signing.mssign32.dll.manifest
Microsoft.Windows.Build.Signing.wintrust.dll.manifest

再试验出现如下错误：命令行

SignTool Error:The /t option is incompatible with the /as option.code

SignTool Error: Specify the RFC 3161 timestamp server's URL instead with /tr.orm

把/t换成/tr，可是出现错误：server

SignTool Error: The specified timestamp server either could not be reached orreturned an invalid response.ip

通过一番努力后，将http://timestamp.wosign.com/timestamp替换成http://timestamp.wosign.com/rfc3161或者ttp://timestamp.geotrust.com/tsa解决问题。http://timestamp.wosign.com/rfc3161和ttp://timestamp.geotrust.com/tsa是较新的时间戳服务格式，兼容/t和/tr，而http://timestamp.wosign.com/timestamp只适用于/t。最后将两个签名指令放到批处理文件里：

set sign_folder=%~dp0%

%sign_folder%\SignTool.exe sign /v /f %sign_folder%example.pfx /p examplepassword/tr http://timestamp.wosign.com/rfc3161 /fd sha1"%1"

%sign_folder%\SignTool.exe sign /v/as /f %sign_folder%example.pfx /p examplepassword /tr http://timestamp.wosign.com/rfc3161 /fd sha256 "%1"