【Windows】数字签名
1 系统正常情况下的操作步骤
下面所有需要输入密码的,请输入同一个密码,所以你要记住自己创建的密码。
1.1 SignTool.rar 下载工具包或者
方法一、如果您安装Microsoft Visual Studio 2005,那么请在安装目录的(..\Common7\Tools\Bin\)下找到相关的工具(makecert.exe、cert2spc.exe、signcode.exe);
方法二、如果没有安装Microsoft Visual Studio 2005且没有数字签名工具包,请从此处下载。
http://download.csdn.net/detail/chenlu5201314/9700199
下载并解压工具包,工具包包括以下几个软件:
makecert.exe 制作cer格式的证书,即X.509证书,同时可以创建私钥cert2spc.exe 将cer格式证书转换成spc格式证书,即PKCS#7证书signcode.exe 将证书签署到ocx上去chktrust.exe 检查签署证书后的ocx是否正确;还有一个certmgr.exe,是管理证书用的。可以从这里面导出root.cer来,网上很多文章写到这个证书,但是在VC的安装盘中却找不到。其实,没有也没关系的。这几个软件可以从VC的安装盘中找到。
1.2 、makecert.exe 创建证书
为了便于操作,建议你将这个工具包放在磁盘根目录下,目录名称起得简单些,进入DOS模式下跳到该目录,输入以下命令,生成一个名为sagecert.cer的证书,如果需要重新创建证书,请将目标文件夹的*.PVK、*.cer、*.spc等文件删除
makecert /sv"SageKey.PVK" /n"CN=Sagecreation.com.cn,E=Sagecreation-163-com-cn,O=北京赛智创业有限公司" sagecert.cer
| /sv |
指定主题的.pvk 私钥文件。如果该文件不存在,系统将创建一个。 |
| "SageKey.PVK" |
自定义.pvk 私钥文件 |
| /n |
指定签名人信息信息。此名称必须符合 X.500 标准。最简单的方 法是在双引号中指定此名称,并加上前缀 CN=;例如, -n "CN=myName"。
|
| CN=Sagecreation.com.cn |
签名人信息-名称 |
| 签名人信息-电子邮件 |
|
| O=北京赛智创业有限公司 |
签名人信息-组织信息 |
| sagecert.cer |
自定义.cer证书文件 |
这些根据你自己的要求填写,最后得到SageKey.PVK和sagecert.cer两个文件。
其中各参数的含义,使用
makecert -?
makecert -!
可以获得详尽的帮助,在这里就不说了
在弹出的窗口输入密码保护你的证书,这个密码要在后面反复使用多次,所以要记住了
输入私人密钥的保护密码
1.2.1 创建私钥密码
1.2.2 输入私人密钥
输入完成后界面上会提示Succeeded,在当前的目录下也生成了*.cer和*.pvk两个文件。
1.3 、cert2spc.exe 格式转换(可以省略)
将cer格式转换为spc格式。
cert2spcsagecert.cer sagecert.spc
得到*.spc文件。
1.4 、signcode.exe 签名
给ocx、sys、exe、dll、cab等进行签名,下面我们对例子程序进行签名。
1.4.1 欢迎使用数字签名向导
双击工具包里的“signcode.exe”,signcode运行后会出现“数字签名向导”。
1.4.2 文件选择
首先选择你要签名的文件,例如下图所示的Exe文件,然后点击“下一步(N) >”。
1.4.3 签名选项
一种是“典型(T)”,一种是“自定义(C)”。我们选择“自定义(C)”,然后点击“下一步(N) >”。
1.4.4 签名证书
点击“从文件选择(F)...”,弹出“打开”文件对话框。
选择cer文件或者spc文件。点击“打开(O)”,然后点击“下一步(N)>”。
1.4.5 私钥
点击“浏览(R)...”,弹出“打开”对话框。
选择私钥文件*.PVK,点击“打开(O)”。
选择“CSP”,选择完成后,点击“下一步(N) >”。
输入私钥的“密码(P)”,输入完成后点击“确定”。
1.4.6 散列算法(哈希算法)
选择“散列算法”(“哈希算法(H)”),一般用“md5”就可以了,点击“下一步(N) >”。
1.4.7 其它证书
保持默认,点击“下一步(N) >”。
1.4.8 数据描述(可选)
填写“描述(可选)(D)”和“Web位置(可选)(W)”,点击“下一步(N) >”。
1.4.9 给数据盖时间戳(可选)
“将时间戳添加到数据中(D)”可以勾选也可以不勾选。
如果没有勾选了“将时间戳添加到数据中(D)”,点击“下一步(N) >”;如果勾选了“将时间戳添加到数据中(D)”,请填写“时间戳服务(T)”,可以是下列URL中的一个,然后点击“下一步(N) >”。
http://timestamp.wosign.com/timestamp
http://timestamp.verisign.com/scripts/timstamp.dll
http://timestamp.globalsign.com/scripts/timstamp.dll
http://timestamp.comodoca.com/authenticode
1.4.10 正在完成数字签名向导
查看“已指定下列设置”的内容,确认后点击“完成”。
输入私钥密码,点击“确定”,弹出“数字签名向导已经成功完成。”的提示,表示已经签名完成。
1.5 、chktrust.exe 检查
检测数字签名是否正确,在DOS窗口输入下列命令中的一种:
chktrust.exeC:\SignTool\ChemiCapture(Release).exe
chktrust –v C:\SignTool\ChemiCapture(Release).exe
如果下图所示,DOS窗口显示“C:\SignTool\ChemiCapture(Release).exe:Succeeded”表示签名成功。
2 遇到问题及解决方案
2.1 数字签名向导-签名证书和私钥不匹配,或者不数据包含有效信息。
解决方案:选择合适CSP
2.2 数字签名向导-您必须指定加密服务提供程序
2.2.1 解决方案
2.2.1.1 第一步:检测下列windows相关服务属性是否为(启动类型 = 自动;服务状态 = 已启动)
Protected Storage服务
Cryptographic Service服务
Encrypting File System (EFS)服务
2.2.1.2 第二步:在注册表中搜索下列相关内容,如果没请重装系统或者使用其他计算机进行签名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider
Provider
| CSP(C) |
Image Path |
Types |
| Microsoft Base Cryptographic Provider v1.0 |
rsaenh.dll |
1 |
| Microsoft Base DSS and Diffie-Hellman Cryptographic Provider |
dssenh.dll |
13 |
| Microsoft Base DSS Cryptographic Provider |
dssenh.dll |
3 |
| Microsoft Base Smart Card Crypto Provider |
basecsp.dll |
1 |
| Microsoft DH SChannel Cryptographic Provider |
dssenh.dll |
18 |
| Microsoft Enhanced Cryptographic Provider v1.0 |
rsaenh.dll |
1 |
| Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider |
dssenh.dll |
13 |
| Microsoft Enhanced RSA and AES Cryptographic Provider |
rsaenh.dll |
24 |
| Microsoft RSA SChannel Cryptographic Provider |
rsaenh.dll |
14 |
| Microsoft Strong Cryptographic Provider |
rsaenh.dll |
1 |
Provider Type
| Types |
Name |
TypeName提供程序类型(V) |
| 1 |
Microsoft Strong Cryptographic Provider |
RSA Full (Signature and Key Exchange) |
| 3 |
Microsoft Base DSS Cryptographic Provider |
DSS Signature |
| 12 |
Microsoft RSA SChannel Cryptographic Provider |
RSA SChannel |
| 13 |
Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider |
DSS Signature with Diffie-Hellman Key Exchange |
| 18 |
Microsoft DH SChannel Cryptographic Provider |
Diffie-Hellman SChannel |
| 24 |
Microsoft Enhanced RSA and AES Cryptographic Provider |
RSA Full and AES |
2.3 数字签名向导-Windows无法构建申请的证书路径。
解决方案:在makecert 的DOS命令中加入“-$ "individual" -r”,重新生成私钥(PVK)和证书(CER)文件。签名时选用“md5”算法。
例如:
Xp下
makecert /sv"SageKey.PVK" /n"CN=Sagecreation.com.cn,E=Sagecreation-163-com-cn,O=北京赛智创业有限公司" sagecert.cer
Win7下
makecert /sv"SageKey.PVK" /n"CN=Sagecreation.com.cn,E=Sagecreation-163-com-cn,O=北京赛智创业有限公司" sagecert.cer -$ "individual" -r