問題タブ [authenticode]

新しい Windows ソフトウェア (exe ファイル) をインターネット上で配布したいと考えています。

Authenticode コード署名証明書を取得する利点は何ですか?

ありがとう

タイムスタンプには次の UL を使用します: http://timestamp.verisign.com/scripts/timstamp.dll

しかし、まれにインターネットがオフになり、アセンブリをコンパイルして認証し、タイムスタンプを付ける必要があるため、アセンブリを使用する代わりに、タイムスタンプが付けられ、コード署名/認証されているコンピューターのクロック時間を使用してアセンブリにタイムスタンプを付ける方法はありますか? URL?

特定のコード署名証明書が「クラス 3」証明書であるかどうかを検出する信頼できる方法はありますか?

これは、Microsoft の Authenticode ドキュメントの多くで要件として取り上げられていますが、クラス 3 証明書と他の種類の証明書を区別する方法は明確にされていません。詳細を読むだけで十分に明らかな場合があります。たとえば、VeriSign は、証明書に署名するときに、証明書のサブジェクトに「Class 3 Code Signing」という語句を含めます。しかし、証明書パスで証明書の件名にある特定のテキストを探すのは不安定に思えます。

観察によると、「コード署名 (1.3.6.1.5.5.7.3.3)」を含む「拡張キー使用法」と、信頼できる CA によって署名されていることの組み合わせが一般的な機能のようですが、私は読んでいませんこれが信頼できるテストになることを示唆するもの。

新しいアプリケーションをリリースしましたが、ユーザーが Internet Explorer でアプリケーションをダウンロードしようとすると、EXE ファイルの保存または実行を選択した後に赤いエラー メッセージが表示されるという報告を受けています。

私たちが知りたいのは、この赤いバージョンのバナーが IE ユーザーに表示されないようにするにはどうすればよいかということです。コード署名は、ファイルを実行または保存するオプションをユーザーに提供する黄色のバナーを代わりに表示するように IE を説得しますか? もしそうなら、これをテストするために一時的/試用証明書(自己署名ではない)を取得することは可能ですか? 自己署名は役に立たないようです。

編集： Google Chromeにも同様のバナーがあり、ユーザーがファイルのインストールを怖がるという事実上同じ問題があることに気付きました.

最近、DigiCert EV コード署名証明書を購入しました。signtool.exe を使用して .exe ファイルに署名できます。ただし、ファイルに署名するたびに、SafeNet eToken パスワードの入力を求められます。

パスワードをどこかに保存/キャッシュすることで、ユーザーの介入なしにこのプロセスを自動化するにはどうすればよいでしょうか?

signtool.exe を使用して SHA1 と SHA2 でバイナリに二重署名する必要があります。証明書は 256 ビット SHA2 をサポートしています。

Windows 8 SDK のサインツールを使用する:

例えば：

signtool.exe 署名 /as /fd sha256 /t http://timestamp.verisign.com/scripts/timstamp.dll /f "certificate.pfx" /p XXXXXXX "file.dll"

(ここで、XXXXXXX は証明書のパスワードです)

不可解なエラーで失敗します:

SignTool エラー: SignedCode::Sign がエラーを返しました: 0x80070057 パラメータが正しくありません。SignTool エラー: 署名中にエラーが発生しました: file.dll

タイムスタンプなしの署名は機能し、SHA1 または SHA256 として個別に署名することもできますが、二重署名が必要であり、タイムスタンプがないことはあり得ないと想像してください。

32 ビット版と 64 ビット版の signtool.exe を試し、Win7 と Win8 マシンで試し、コマンド ライン オプションをいじってみましたが、うまくいきませんでした。誰かが以前にこの問題にぶつかったことがありますか?