我有一个EXE文件,我想签名,这样Windows就不会警告终端用户来自“未知发行商”的应用程序。我不是Windows开发人员。所讨论的应用程序是由生成屏幕保护程序的应用程序生成的屏幕保护程序。因此,我对如何生成文件没有影响。
我已经发现我需要一个来自CA的代码签名证书,比如Verisign或instantssl.com。我不明白的是我需要做什么(如果可能的话)来签署我的EXE文件。一个简单的解释是什么?
Mel Green的回答让我更进一步,但signtool希望我指定在任何情况下使用什么证书。我能得到一个免费的代码签名证书来测试这是否对我有用吗?
另外,请指定哪种证书类型是正确的。大多数网站只提到“代码签名”,并谈论签名实际由用户编译的应用程序。对我来说不是这样。
当前回答
ASP的杂志ASPects有关于如何签署代码的详细描述(你必须是会员才能阅读文章)。你可以通过http://www.asp-shareware.org/下载
这里有一个链接,说明如何制作自己的测试证书。
这可能也很有趣。
其他回答
还有一种选择,如果你是在Windows 10上开发,但没有安装微软的signtool.exe,你可以在Windows上的Ubuntu上使用Bash来为你的应用签名。
https://blog.synapp.nz/2017/06/16/code-signing-a-windows-application-on-linux-on-windows/
如果您需要对Linux机器上的可执行文件进行签名,另一种选择是使用Mono项目工具中的signcode。Ubuntu支持。
如何为你的应用程序签名
使用微软的SignTool为你的应用签名。
你下载它作为Windows SDK的一部分。注意,也可以在不安装整个SDK的情况下安装SignTool。安装完成后,你可以从命令行使用SignTool,如下所示:
signtool sign /a /fd SHA256 /tr http://timestamp.digicert.com /td SHA256 MyFile.exe
这将签署MyFile.exe。使用的命令行选项说明:
/a will automatically use the certificate that is valid for the longest time. If you have no certificate, SignTool will display an error. /fd SHA256 will use the SHA-256 digest algorithm for the file signature. Using SHA256 is recommended and considered to be more secure than the default SHA1 digest algorithm. /tr http://timestamp.digicert.com adds a timestamp to your signed apps. This is extremely important because this will allow the signature to remain valid even after the certificate itself has already expired. The argument for the /tr option is a timestamp URL. You can use any of the timestamp URL's from this list of free RFC 3161 timestamp servers. /td SHA256 will use the SHA-256 digest algorithm for the timestamp signature. As before, using SHA256 is recommended and considered to be more secure.
如何以及何时使用自签名证书
如果您希望获得一个证书,可以使用它来测试对可执行文件进行签名的过程,那么可以使用MakeCert来创建一个自签名证书。
一旦您创建了自己的证书并使用它对可执行文件进行签名,您需要手动将其添加为机器的可信根CA,以便UAC接受您的自签名证书作为可信源。请注意,您只能在自己的开发机器上执行此操作。通常不能在用户的计算机上这样做,因为大多数用户出于充分的理由不接受安装新的根CA。
如何摆脱“未识别的应用程序”警告
即使你的应用程序是签名的,当你试图运行应用程序时,你仍然可能会看到以下警告消息:
Microsoft Defender SmartScreen阻止无法识别的应用程序 开始。运行这个应用程序可能会使你的电脑处于危险之中。
如何避免这个警告是一个有点复杂的话题。请看这个答案,了解微软智能屏幕警告的全貌,以及你可以做什么,应该知道什么。
ASP的杂志ASPects有关于如何签署代码的详细描述(你必须是会员才能阅读文章)。你可以通过http://www.asp-shareware.org/下载
这里有一个链接,说明如何制作自己的测试证书。
这可能也很有趣。
参考https://steward-fu.github.io/website/driver/wdm/self_sign.htm 注意:signtool.exe来自Microsoft SDK
1.第一次(制作私人证书)
Makecert -r -pe -ss YourName YourName.cer
certmgr.exe -添加你的名字。cer -s -r localroot
2.之后(添加你的签名到你的应用程序)
signtool sign /s YourName YourApp.exe
