如何使用Windows SDK中的工具创建用于代码签名的自签名证书?
当前回答
从PowerShell 4.0 (Windows 8.1/Server 2012 R2)开始,不需要makecert.exe就可以在Windows中制作证书。
需要执行的命令为New-SelfSignedCertificate和Export-PfxCertificate。
说明请参见使用PowerShell创建自签名证书。
其他回答
罗杰的回答很有帮助。
不过,我在使用它时遇到了一点麻烦,一直出现红色的“Windows无法验证此驱动程序软件的发行者”错误对话框。关键是安装测试根证书
certutil -addstore Root Demo_CA.cer
罗杰的回答并没有完全涵盖这一点。
下面是一个为我工作的批处理文件(不包括我的.inf文件)。 它展示了如何从头到尾完成这一切,完全没有GUI工具 (除了一些密码提示)。
REM Demo of signing a printer driver with a self-signed test certificate.
REM Run as administrator (else devcon won't be able to try installing the driver)
REM Use a single 'x' as the password for all certificates for simplicity.
PATH %PATH%;"c:\Program Files\Microsoft SDKs\Windows\v7.1\Bin";"c:\Program Files\Microsoft SDKs\Windows\v7.0\Bin";c:\WinDDK\7600.16385.1\bin\selfsign;c:\WinDDK\7600.16385.1\Tools\devcon\amd64
makecert -r -pe -n "CN=Demo_CA" -ss CA -sr CurrentUser ^
-a sha256 -cy authority -sky signature ^
-sv Demo_CA.pvk Demo_CA.cer
makecert -pe -n "CN=Demo_SPC" -a sha256 -cy end ^
-sky signature ^
-ic Demo_CA.cer -iv Demo_CA.pvk ^
-sv Demo_SPC.pvk Demo_SPC.cer
pvk2pfx -pvk Demo_SPC.pvk -spc Demo_SPC.cer ^
-pfx Demo_SPC.pfx ^
-po x
inf2cat /drv:driver /os:XP_X86,Vista_X64,Vista_X86,7_X64,7_X86 /v
signtool sign /d "description" /du "www.yoyodyne.com" ^
/f Demo_SPC.pfx ^
/p x ^
/v driver\demoprinter.cat
certutil -addstore Root Demo_CA.cer
rem Needs administrator. If this command works, the driver is properly signed.
devcon install driver\demoprinter.inf LPTENUM\Yoyodyne_IndustriesDemoPrinter_F84F
rem Now uninstall the test driver and certificate.
devcon remove driver\demoprinter.inf LPTENUM\Yoyodyne_IndustriesDemoPrinter_F84F
certutil -delstore Root Demo_CA
你可以在Visual Studio 2019的项目属性中生成一个。在驱动程序签名部分,测试证书字段有一个下拉菜单。生成测试证书是其中一个选项。证书将位于扩展名为'cer'的文件中,通常与可执行文件或驱动程序位于相同的输出目录中。
更新后的答案
如果您使用的是以下Windows版本或更高版本:Windows Server 2012、Windows Server 2012 R2或Windows 8.1,那么MakeCert现在已弃用,Microsoft建议使用PowerShell Cmdlet New-SelfSignedCertificate。
如果您使用的是Windows 7等旧版本,则需要坚持使用MakeCert或其他解决方案。一些人建议使用公钥基础设施Powershell (PSPKI)模块。
原来的答案
虽然您可以创建一个自签名的代码签名证书(SPC -软件发布者证书),但我更喜欢这样做:
创建自签名证书颁发机构(CA)
makecert -r -pe -n "CN=My CA" -ss CA -sr CurrentUser ^
-a sha256 -cy authority -sky signature -sv MyCA.pvk MyCA.cer
(^ =允许批处理命令行换行)
这将创建一个自签名(-r)证书,带有一个可导出的私钥(-pe)。它被命名为“My CA”,应该放在当前用户的CA存储中。我们使用的是SHA-256算法。该密钥用于签名(-sky)。
私钥应该存储在MyCA中。“MyCA. pvk”文件和MyCA. pvk文件中的证书。cer文件。
导入CA证书
因为如果您不信任CA证书,那么拥有它就没有意义了,您需要将其导入Windows证书存储区。您可以使用Certificates MMC管理单元,但从命令行:
certutil -user -addstore Root MyCA.cer
创建代码签名证书(SPC)
makecert -pe -n "CN=My SPC" -a sha256 -cy end ^
-sky signature ^
-ic MyCA.cer -iv MyCA.pvk ^
-sv MySPC.pvk MySPC.cer
它与上面的基本相同,但是我们提供了一个颁发者密钥和证书(-ic和-iv开关)。
我们还想将证书和密钥转换为PFX文件:
pvk2pfx -pvk MySPC.pvk -spc MySPC.cer -pfx MySPC.pfx
如果您正在使用密码,请使用下面的密码
pvk2pfx -pvk MySPC.pvk -spc MySPC.cer -pfx MySPC.pfx -po fess
如果您想保护PFX文件,请添加-po开关,否则PVK2PFX将创建一个没有密码短语的PFX文件。
使用证书对代码进行签名
signtool sign /v /f MySPC.pfx ^
/t http://timestamp.url MyExecutable.exe
(了解为什么时间戳可能很重要)
如果您将PFX文件导入到证书存储中(您可以使用PVKIMPRT或MMC管理单元),您可以按照以下方式对代码进行签名:
signtool sign /v /n "Me" /s SPC ^
/t http://timestamp.url MyExecutable.exe
signtool /t的一些可能的时间戳url是:
http://timestamp.verisign.com/scripts/timstamp.dll http://timestamp.globalsign.com/scripts/timstamp.dll http://timestamp.comodoca.com/authenticode http://timestamp.digicert.com
完整的微软文档
signtool makecert pvk2pfx
下载
For those who are not .NET developers, you will need a copy of the Windows SDK and .NET framework. A current link is available here: [SDK & .NET][5] (which installs makecert in `C:\Program Files\Microsoft SDKs\Windows\v7.1`). Your mileage may vary.MakeCert可从Visual Studio命令提示符获得。Visual Studio 2015确实有它,它可以在Windows 7的开始菜单中“VS2015的开发人员命令提示符”或“VS2015 x64本机工具命令提示符”下启动(可能都在同一个文件夹中)。
从PowerShell 4.0 (Windows 8.1/Server 2012 R2)开始,不需要makecert.exe就可以在Windows中制作证书。
需要执行的命令为New-SelfSignedCertificate和Export-PfxCertificate。
说明请参见使用PowerShell创建自签名证书。
如回答中所述,为了使用不弃用的方式为自己的脚本签名,应该使用New-SelfSignedCertificate。
生成密钥:
New-SelfSignedCertificate -DnsName email@yourdomain.com -Type CodeSigning -CertStoreLocation cert:\CurrentUser\My
导出不带私钥的证书:
Export-Certificate -Cert (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert)[0] -FilePath code_signing.crt
[0]将使此工作用于当您有多个证书时……显然,要让索引与你想要使用的证书相匹配…或采用一种滤液方式(指纹或发胶)。
将其作为受信任的发布者导入
Import-Certificate -FilePath .\code_signing.crt -Cert Cert:\CurrentUser\TrustedPublisher
将其作为根证书颁发机构导入。
Import-Certificate -FilePath .\code_signing.crt -Cert Cert:\CurrentUser\Root
为脚本签名(假设这里的脚本名为script)。Ps1,修正相应的路径)。
Set-AuthenticodeSignature .\script.ps1 -Certificate (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert)
显然,一旦设置了密钥,就可以简单地用它为任何其他脚本签名。 您可以在本文中获得更详细的信息和一些故障排除帮助。
推荐文章
- cer、pvk和pfx文件有什么区别?
- Django设置“SECRET_KEY”的目的是什么?
- 如何从命令行重置Jenkins安全设置?
- 如何通过SFTP从服务器检索文件?
- SecureString在c#应用中实用吗?
- 浏览器会通过https缓存内容吗
- 在git存储库中处理密码的最佳实践是什么?
- 支付处理器-如果我想在我的网站上接受信用卡,我需要知道什么?
- 如何加密和解密一个PHP字符串?
- 使用80端口运行Node.js时的最佳实践(Ubuntu / Linode)
- 使用PHP进行最简单的双向加密
- JWT刷新令牌流
- 什么是回跳线?它是如何工作的?
- 可利用的PHP函数
- 删除SQL Server Management Studio中记住的登录名和密码列表