問題タブ [authenticode]

PFXファイルsigntool.exeでバイナリに署名するために使用しています。

しかし、コマンドラインからコマンドを実行しようとすると、エラーメッセージが表示されます。

SignTool Error: File not found: D:\Myfile.Pfx しかし、ファイルD:\Myfile.Pfxはその場所に存在します。

最新バージョンのSignTool.exeを使用してファイルに署名しようとしましたが、問題は解決しません。
Windows XPSP332ビットを使用しています。

このエラーの理由とそれを修正するにはどうすればよいですか？

I made my own CA for Authenticode to be used by third party developers for an application I'm writing. I want to make sure that I can revoke certificates, and am testing the CRL behavior of my CA and chain.

For some reason Windows cannot find the CRL even though I can get it with my browser.

A signed exe is here: http://www.rhino3d.com/developer/authenticode/RmaBrowser.t3.exe

The CRL pointed to by this EXE is at http://www.rhino3d.com/developer/authenticode/mcneel.crl (corrected typo, this was incorrectly mcneel.exe when I first asked the question)

But when I:

1. Right-click the EXE in Windows
2. click Properties
3. Digital Signatures
4. Details
5. View Certificate
6. Details

I see "Extended Error Information: Revocation Status : The revocation function was unable to check revocation because the revocation server was offline."

サードパーティがプラグインを作成できるようにするWin32プログラム（=ホスト）を開発します。一部のプラグインには貴重なコード（たとえば、高品質のビデオスカラー）が含まれているため、サードパーティはプラグインをホストプログラムでのみ機能するように制限したいと考えています。

私たちのアイデアは、MicrosoftAuthenticodeテクノロジーを使用してホストに署名することです。次に、サードパーティは、ホストをチェックするために次のアルゴリズムを実装するように求められます。（サードパーティは、アルゴリズムに対して十分なコード難読化を行うことが期待されています）。

1. WinVerifyTrust（）APIを使用して、ホストの証明書が有効であることを確認します（=取り消されていない、改ざんされていないなど）。

2. 件名が当社であることを証明します。

問題はステップ（2）についてです。ホストのデジタル証明書は証明書の有効期限後に更新されるため、サードパーティは単にサムプリントまたはシリアル番号を確認することはできません。

私の考えは、米国で会社名の競合がないと仮定して、サブジェクトの識別名の一部、具体的には「国（C）」と「一般名（CN）」をチェックすることです。会社が移転する可能性があるため、州や都市などの他の属性を確認するべきではありません。実際、1年前にある都市から別の都市に移転しました。

質問：目標を達成するための良い方法ですか？

証明書を確認したくありません。これをビルドサーバーで使用して、すべてのファイルをチェックし、署名を忘れた可能性のあるファイルを一覧表示したいと考えています。

常に実行可能ファイル (exe、dll、ocx など) に署名することをお勧めします。一方、オープンソース プロジェクトでは、他のすべての開発者からのプロジェクトへの貢献を無視すると見なされる場合があります。

これは私にとって非常に倫理的なジレンマであり、同様の状況にあった人、またはオープンソース プロジェクトに貢献した人から、これについてもっと意見を聞きたいと思います。

この質問は、.NET 4 を使用して C# で記述されたオープンソース プロジェクトに関するものであるため、ユーザーが実行可能ファイルをクリックすると、ファイルが信頼されていない発行元からのものであるという警告が表示されます。デジタル署名されていません。

ちなみに、すべてのアセンブリには既に厳密な名前 (署名) がありますが、まだデジタル署名されていません (つまり、Verisign コード署名証明書を使用)。

バイナリのコード署名を検証する必要があります。Microsoft Authenticode という用語だと思います。Windows API を使用してこれを行う適切な方法はありますか?

Windows で使用するデスクトップ アプリケーションを開発していますが、実行可能ファイルに署名を付けて、発行元が不明であるという恐ろしい警告メッセージが表示されないようにする方法を考えていました。私は、バイナリをリリースする前にバイナリに署名することに多少慣れています。独自の署名済みリポジトリ (apt-get) ですが、同じプログラムの Linux ポートが配布されています。

Windows の実行可能ファイルに署名するプロセスは非常に複雑なようで、何をすべきかについての簡単なチュートリアルを見つけることができません。むしろ、プロセスの一部のみを説明する何千もの Web ページ、またはあまりにも詳細なページが見つかりません。

Windows で実行可能ファイルに署名するために必要な手順の簡単なリストが必要です。「authenticode」と呼ばれていると思います。

私は最近、Authenticode署名付き実行可能ファイルからさまざまな情報を取得することに関する非常に有益な記事を見つけました:

.NET の Authenticode 署名ファイルからタイムスタンプを取得する

TimeStamp 日付属性を取得する方法は管理しましたが、生データの変換についてはよくわかりません。その属性をバイト配列から DateTime オブジェクトに変換する必要があると思います。

C#でこれを達成する方法の例を教えてもらえますか?

ありがとう。

多数の EXE ファイルがあり、どのファイルにデジタル署名があるかを調べる必要があります。WinVerifyTrust にアクセスせずにチェックする方法があるかどうかは誰にもわかりません (それらはすべて Unix サーバー上にあります)。

デジタル署名が実際に EXE 内のどこにあるかについての情報が見つからないようです。それがどこにあるかがわかれば、ファイルを開いてテストする場所に fseek できるかもしれません。証明書に対して「実際の」検証を行う必要はありません。WinVerifyTrust を使用せずに、デジタル署名が存在する (または、さらに重要なことに、存在しない) かどうかを確認したいだけです。

VS2010 がインストールされた Windows Server 2008 R2 x64 で、新しいコード署名証明書を使用して .NET アプリケーションに認証コード署名しようとしていますが、SignTool はAccess is deniedで応答し続けます。

証明書はユーザーの個人用ストアにインストールされ、ユーザーはローカルの Administrators グループのメンバーです。.pfx ファイルを使用して署名も試みましたが、同じエラーが発生し続けました。UAC プロンプトを無効にしても効果はありませんでした。

何か案は？