转载自:http://www.55055.com/blog/user1/1/archives/2007/20071202322.html
必备工具:
CabArc.Exe
Cert2Spc.Exe
makecert.exe
SetReg.Exe
signtool.exe (或者 signcode.exe)
以及相关动态库,以上文件可到微软网站下载:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/default.htm?p=/msdownload/platformsdk/sdkupdate/SDKInfo.htm
安装 Internet Development SDK 后,
第一步 建立一个 .inf 文件,样式如下:
[version]
signature="$CHICAGO$"
AdvancedINF=2.0
[Add.Code]
time.ocx=time.ocx
msvcrt.dll=msvcrt.dll
mfc42.dll=mfc42.dll
olepro32.dll=olepro32.dll
[time.ocx]
file-win32-x86=thiscab
clsid={DCF0768D-BA7A-101A-B57A-0000C0C3ED5F}
FileVersion=1,0,0,0
;DestDir=11 ;***
RegisterServer=yes
[msvcrt.dll]
FileVersion=4,20,0,6164
hook=mfc42installer
[mfc42.dll]
FileVersion=4,2,0,6256
hook=mfc42installer
[olepro32.dll]
FileVersion=4,2,0,6068
hook=mfc42installer
[mfc42installer]
file-win32-x86=http://activex.microsoft.com/controls/vc/mfc42.cab
run=%EXTRACT_DIR%\mfc42.exe
DestDir 可以=10 :Windows 目录,
11 :Windows\System(32) 目录,
空 :Occache directory
第二步 将 ActiveX 控件及 .inf 文件打包进 .cab,命令如下:
cabarc.exe -s 6144 N yourActiveX.cab yourActiveX.ocx yourActiveX.inf
第三步 给 .cab 文件签名
1. setreg 1 true
2. makecert newCert.cer -sv privatekey.pvk
生成 newCert.cer 和 privatekey.pvk 两个文件
3. Cert2Spc newCert.cer newCert.spc
4. signtool signwizard
有图形界面的签名向导,按提示指定有关文件路径即可,其中的描述是控件的描述。
方法二:
1:生成密钥对,输入密码(后面要多次用到这个密码)
makecert /sv "3adisk.PVK" /n "CN=3Adisk.Net,E=55055.Com,O=独孤大侠" 3Adisk.cer
2:运行signcode,选择要签名的文件.
导入刚才生成的3adisk.cer,密钥选上一步生成的3adisk.PVK,输入前面的密码.一路默认就可以了
3:测试生成的签名
chktrust xuploadfiles.cab ----后面这个文件就是要签名的文件了
免费的代码签名时间戳地址
方法三:
1。准备软件 InstallShield 的 PackageForTheWeb 4 (用来把DLL或者OCX打包成CAB的软件)
2。去
http://www.globalsign.net/ 申请DEMO版的证书,只能用一个月,不过是全球的,不错了。一月换一个吧。^^
3。根据提示 一共有8步来完成申请(其中大部分NEXT即可,其中要去收2次邮件,第2次邮件就发给你证书了)。
4。按照PackageForTheWeb 的提示完成制作你的CAB,他上面要求数字证书保护的时候可以不选。
5。打开 signcode.exe(这个程序装完PackageForTheWeb在他的安装目录下就有),按照提示,选择到你刚才申请的证书,next,最后一步要选择时间戳服务器,这里有个免费的:
http://timestamp.verisign.com/scripts/timstamp.dll 写上去就完了,这样就完成了签名。
好了。现在一个带数字签名的CAB文件已经制作完成,在IE里不会出现不安全的控件,无法安装的现象了。
赶快自己去测试下吧。
小技巧:
Q:如何删除已经安装了的CAB内的控件。
A:1。找到主要的OCX或者DLL文件,REGSVR32 xxx.ocx /u 卸载这个DLL
2。到C:\WINDOWS\Downloaded Program Files 下删除已经安装过的控件。就会出现再次安装了。
不同证书格式转换指南
从 双证书签名指南 和 单证书签名指南 可以看出:单证书的签名过程要比双证书的简单。所以,如果您想把双证书文件 .pvk 和 .spc 转换成一个 .pfx 格式证书文件,以简化签名过程和方便导入到 USB Key 中实现更加安全的签名管理,请参考本转换指南。而有些用户可能需要使用命令行方式来实现代码签名,即需要把 .pfx 格式签名证书文件转换成两个签名证书文件 .pvk 和 .spc ,也请参考本转换指南。
一、从 .pvk 和 .spc 格式转换成 .pfx 格式
(1) 下载微软的转换工具软件: pvkimprt.rar ,并成功安装;
(2) 请确认您电脑上已经安装了颁发代码签名证书的中级根证书,如果没有,请先点击安装:
WoTrust代码签名中级根证书为: WoTrust Code Signing Authority
(3) 在 DOS 状态下,进入保存两个签名证书文件 mycert.pvk 和 mycert.spc 的目录,请键入命令:
pvkimprt mycert.spc mykey.pvk
按提示输入私钥密码后,启动证书导入过程,按几个回车就成功把证书导入到 Windows 证书存储区,在 IE 浏览器的 “工具” — “ Internet 选项” — “内容” — “证书” — “个人”中就能看到您的签名证书,再点击“导出”就可以得到包含有签名证书公钥和私钥的 .pfx 格式证书。
请注意:在导出时要选中“如果可能,将所有证书包括到证书路径中”,并建议选中“如果导出成功删除密钥”以防止被他人非法导出。如果还需要导入使用,则再导入即可,此时导入的缺省是“不允许导出私钥”,从而保证了签名证书的安全。
请注意: pvkimprt 工具不支持跨操作系统,也就是说,如果您是在 Windows 2000 操作系统上生成的私钥文件 .pvk 的,则只能在 Windows 2000 操作系统中使用 pvkimprt 工具。
您也可以利用此工具来修改签名证书私钥文件 .pvk 的密码,只需要从 .pfx 格式证书文件中分离出私钥文件 .pvk 和公钥文件 .spc ,请参考如下转换指南。
二、从 .pfx 格式转换成 .pvk 和 .spc 格式
1. 需要使用 OpenSSL 来实现格式转换,如果没有OpenSSL ,则需要 下载 和安装一个 OpenSSL Win32 包;
2. 从 PFX 格式文件中提取私钥中间格式文件 (.key) ,假设 OpenSSL 的安装目录为:
c:\program file\GnuWin32, PFX 格式文件目录: c:\cert\mycert.pfx ,在 DOS 状态下键入:
cd\Program Files\GnuWin32\bin
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
会提示输入 .pfx 证书文件的密码,就是您从 IE 导出 PFX 备份文件时设置的密码,输入密码后会提示“ MAC verified OK ”,表示提取成功。
3. 使用 pvk.exe 来把 .key 格式文件转换成 .pvk 格式, 下载 pvk.exe 到 c:\cert 目录,在 DOS 状态下键入:
pvk -in mycert.key -topvk -out mycert.pvk
会提示输入密码,和再次输入密码就完成转换。
4. 从 IE 中导出或 下载 颁发代码签名证书的中级根证书WoTrust Code Signing Authority和导出您的代码签名证书的公钥 mycert.cer ,导出时选择 Base64 编码格式。
5. 使用签名工具包中的 cert2spc.exe 生成软件发行证书 .spc 格式文件, 下载 签名工具包,在 DOS 状态下键入:
cert2spc WoTrustCodeSigning.cer mycert.cer mycert.spc
会提示 Success ,表示 SPC 文件生成成功。
这样就成功从 mycert.pfx 中得到了 mycert.pvk 和 mycert.spc 文件,实现了从 .pfx 格式证书文到 .pvk 和 .spc 格式证书文件的转换。